KR20170038190A - Technologies for distributed detection of security anomalies - Google Patents

Technologies for distributed detection of security anomalies Download PDF

Info

Publication number
KR20170038190A
KR20170038190A KR1020177005493A KR20177005493A KR20170038190A KR 20170038190 A KR20170038190 A KR 20170038190A KR 1020177005493 A KR1020177005493 A KR 1020177005493A KR 20177005493 A KR20177005493 A KR 20177005493A KR 20170038190 A KR20170038190 A KR 20170038190A
Authority
KR
South Korea
Prior art keywords
computing device
security
server
trusted
establishing
Prior art date
Application number
KR1020177005493A
Other languages
Korean (ko)
Other versions
KR101992547B1 (en
Inventor
카필 수드
메수트 에이 에르긴
존 알 패스타벤드
시나에 우
제프리 비 쇼
쥬니어 브라이언 제이 스케리
Original Assignee
인텔 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인텔 코포레이션 filed Critical 인텔 코포레이션
Publication of KR20170038190A publication Critical patent/KR20170038190A/en
Application granted granted Critical
Publication of KR101992547B1 publication Critical patent/KR101992547B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)
  • Computer And Data Communications (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)

Abstract

보안 이상의 분산형 검출을 위한 기술은 보안 서버와 신뢰된 관계를 수립하기 위한 컴퓨팅 디바이스를 포함한다. 컴퓨팅 디바이스는 신뢰된 관계의 수립에 응답하여 인터-가상 네트워크 기능 네트워크 또는 인터-가상 네트워크 기능 컴포넌트 네트워크 중 적어도 하나의 하나 이상의 패킷을 판독하고, 하나 이상의 패킷의 보안 위협 평가를 수행한다. 컴퓨팅 디바이스는 보안 위협 평가를 보안 서버에 전송한다.The technology for distributed detection above security includes a computing device for establishing a trusted relationship with a security server. The computing device reads one or more packets of at least one of the inter-virtual network functional network or the inter-virtual network functional component network in response to establishing a trusted relationship and performs a security threat assessment of the one or more packets. The computing device sends the security threat assessment to the security server.

Figure P1020177005493
Figure P1020177005493

Description

보안 이상의 분산형 검출을 위한 기술{TECHNOLOGIES FOR DISTRIBUTED DETECTION OF SECURITY ANOMALIES}BACKGROUND OF THE INVENTION 1. Field of the Invention [0001] The present invention relates to a security-

관련 미국 특허 출원의 상호 참조Cross-reference to relevant US patent application

본 출원은 2014년 10월 13일 출원된 발명의 명칭이 "보안 이상의 분산형 검출을 위한 기술(TECHNOLOGIES FOR DISTRIBUTED DETECTION OF SECURITY ANOMOLIES)"인 미국 특허 출원 제 14/513,140호를 우선권 주장하고, 2014년 9월 30일 출원된 발명의 명칭이 "보안 이상의 분산형 검출을 위한 기술(TECHNOLOGIES FOR DISTRIBUTED DETECTION OF SECURITY ANOMOLIES)"인 미국 가출원 제 62/058,096호를 35 U.S.C.§119(e) 하에서 우선권 주장한다.This application claims priority to U.S. Patent Application No. 14 / 513,140 entitled " TECHNOLOGIES FOR DISTRIBUTED DETECTION OF SECURITY ANOMOLIES ", filed October 13, 2014, Priority is claimed under 35 USC § 119 (e) of U.S. Provisional Application No. 62 / 058,096, entitled "TECHNOLOGIES FOR DISTRIBUTED DETECTION OF SECURITY ANOMOLIES", filed September 30,

다양한 기술 사양이 전세계에서 네트워크 기능 및 서비스가 네트워크 사업자 및 서비스 공급자에 의해 전개되고 관리되는 방식을 정의한다. 예를 들어, 사양은 서비스를 전달하기 위해 가상화된 플랫폼의 사용을 정의하고, 종종 서비스 내의 구성요소가 함께 "체인될" 수도 있다. 이러한 기술 사양은 예를 들어, 네트워크 기능 가상화를 위한 유럽 전기 통신 표준 협회의 표준(European Telecommunication Standards Institute's standard for Network Functions Virtualization: ETSI NFV)을 포함한다. 네트워크 사업자가 ETSI NFV에 의해 현재 정의된 바와 같은 가상 네트워크 기능 모델 상에 네트워크 기능 및 서비스를 실행할 때, 물리적 네트워킹 시스템에 전통적으로 이용가능한 양호하게 정의된 인터페이스는 더 이상 인터플로우 패킷 분석을 위해 이용가능하지 않다. 따라서, 위협을 검출하고 대처할 수 있게 하는 시스템의 능력(예를 들어, 더 높은 특권 레벨을 갖는 가입자를 위해 확보된 네트워크 기능 서비스에 가입자가 액세스하는 것을 방지함)이 상당히 억제될 수 있다.A variety of technical specifications define how network functions and services are deployed and managed by network operators and service providers worldwide. For example, a specification defines the use of a virtualized platform to deliver services, and often components within a service are "chained together". These technical specifications include, for example, the European Telecommunication Standards Institute's standard for Network Functional Virtualization (ETSI NFV) for network functional virtualization. When a network operator executes network functions and services on a virtual network function model as currently defined by the ETSI NFV, a well-defined interface traditionally available in the physical networking system is no longer available for analysis of the interflow packet I do not. Thus, the ability of the system to detect and cope with the threat (e.g., to prevent subscribers from accessing secured network capability services for a subscriber with a higher privilege level) can be significantly suppressed.

본 명세서에 설명된 개념은 첨부 도면에 한정으로서가 아니라 예로서 도시되어 있다. 도시의 간단화 및 명료화를 위해, 도면에 도시된 요소는 반드시 실제 축적대로 도시되어 있지는 않다. 적절한 것으로 고려되면, 도면 부호는 대응 또는 유사 요소를 지시하기 위해 도면 사이에서 반복되어 있다.
도 1은 보안 이상의 분산형 검출을 위한 시스템의 적어도 하나의 실시예의 개략화된 블록도이고;
도 2는 도 1의 시스템의 백본(backbone) 네트워크 시스템의 적어도 하나의 실시예의 개략 블록도이고;
도 3은 도 2의 백본 네트워크 시스템의 서버의 적어도 하나의 실시예의 개략 블록도이고;
도 4는 도 3의 서버의 환경의 적어도 하나의 실시예의 개략 블록도이고;
도 5 및 도 6은 도 2의 서버에 의해 실행될 수 있는 보안 이상의 분산형 검출을 위한 방법의 적어도 하나의 실시예의 개략 흐름도이고;
도 7은 도 2의 보안 서버에 의해 실행될 수 있는 보안 이상의 분산형 검출을 위한 방법의 적어도 하나의 실시예의 개략 흐름도이다.The concepts described herein are illustrated by way of example, and not by way of limitation, in the accompanying drawings. For simplicity and clarity of illustration, elements shown in the figures are not necessarily drawn to scale. When considered appropriate, reference numerals have been repeated among the figures to indicate corresponding or like elements.
1 is a simplified block diagram of at least one embodiment of a system for distributed detection over security;
Figure 2 is a schematic block diagram of at least one embodiment of a backbone network system of the system of Figure 1;
Figure 3 is a schematic block diagram of at least one embodiment of a server of the backbone network system of Figure 2;
Figure 4 is a schematic block diagram of at least one embodiment of the environment of the server of Figure 3;
Figures 5 and 6 are schematic flow diagrams of at least one embodiment of a method for distributed detection over security that may be performed by the server of Figure 2;
FIG. 7 is a schematic flow diagram of at least one embodiment of a method for distributed detection above security that may be performed by the security server of FIG. 2;

본 발명의 개념은 다양한 수정 및 대안 형태에 민감하지만, 그 특정 실시예는 도면에 예로서 도시되어 있고 본 명세서에 상세히 설명될 것이다. 그러나, 본 발명의 개념을 개시된 특정 형태에 한정하려는 의도는 없고, 반대로, 의도는 본 명세서 및 첨부된 청구범위에 따른 모든 수정, 등가물, 및 대안을 커버하는 것이라는 것이 이해되어야 한다.While the concepts of the present invention are susceptible to various modifications and alternative forms, specific embodiments thereof have been shown by way of example in the drawings and will be described in detail herein. It should be understood, however, that there is no intent to limit the inventive concepts to the particular forms disclosed, but on the contrary, the intention is to cover all modifications, equivalents, and alternatives falling within the spirit and scope of the appended claims.

명세서에서 "일 실시예", "실시예", "예시적인 실시예" 등의 참조는 설명된 실시예가 특정 특징, 구조, 또는 특성을 포함할 수 있지만, 모든 실시예가 특정 특징, 구조, 또는 특성을 반드시 포함할 수도 있거나 또는 포함하지 않을 수도 있다는 것을 지시한다. 더욱이, 이러한 구문은 반드시 동일한 실시예를 칭하는 것은 아니다. 또한, 특정 특징, 구조, 또는 특성이 실시예와 관련하여 설명될 때, 명시적으로 설명되건 설명되지 않건간에 다른 실시예와 관련하여 이러한 특징, 구조, 또는 특성을 실행하는 것이 당 기술 분야의 숙련자의 지식 내에 있다는 것이 제기된다. 부가적으로, "적어도 A, B 및 C"의 형태의 리스트 내에 포함된 아이템은 (A); (B); (C): (A 및 B); (B 및 C); (A 및 C); 또는 (A, B, 및 C)를 의미할 수 있다는 것이 이해되어야 한다. 유사하게, "적어도 A, B 또는 C"의 형태의 리스트 내의 아이템은 (A); (B); (C): (A 및 B); (B 및 C); (A 및 C); 또는 (A, B, 및 C)를 의미할 수 있다.Reference in the specification to "one embodiment "," an embodiment, "" an embodiment," and the like specify that the embodiments described may include a particular feature, structure, And may or may not include < / RTI > Moreover, such a statement does not necessarily refer to the same embodiment. Furthermore, when a particular feature, structure, or characteristic is described in connection with the embodiment, it will be understood by those skilled in the art to practice such a feature, structure, or characteristic in connection with other embodiments, Is within the knowledge of. Additionally, the items contained in the list of the forms of "at least A, B and C" are (A); (B); (C): (A and B); (B and C); (A and C); Or < / RTI > (A, B, and C). Similarly, an item in the list of the form "at least A, B or C" is (A); (B); (C): (A and B); (B and C); (A and C); Or (A, B, and C).

개시된 실시예는 몇몇 경우에 하드웨어, 펌웨어, 소프트웨어, 또는 이들의 임의의 조합으로 구현될 수 있다. 개시된 실시예는 또한 하나 이상의 프로세서에 의해 판독되고 실행될 수 있는 하나 이상의 일시적 또는 비일시적 기계 판독가능(예를 들어, 컴퓨터 판독가능) 저장 매체에 의해 전달되거나 또는 그 위에 저장된 인스트럭션으로서 구현될 수 있다. 기계 판독가능 저장 매체는 기계에 의해 판독가능한 형태의 정보를 저장하거나 전송하기 위한 임의의 저장 디바이스, 메커니즘, 또는 다른 물리적 구조체(예를 들어, 휘발성 또는 비휘발성 메모리, 매체 디스크, 또는 다른 매체 디바이스)로서 구체화될 수도 있다.The disclosed embodiments may in some cases be implemented in hardware, firmware, software, or any combination thereof. The disclosed embodiments may also be implemented as instructions carried by or stored on one or more temporary or non-temporary machine readable (e.g., computer readable) storage media that can be read and executed by one or more processors. The machine-readable storage medium can be any storage device, mechanism, or other physical structure (e.g., volatile or nonvolatile memory, media disk, or other media device) for storing or transmitting information in a form readable by a machine, .

도면에서, 몇몇 구조적 또는 방법 특징이 특정 배열 및/또는 순서로 도시되어 있을 수도 있다. 그러나, 이러한 특정 배열 및/또는 순서는 요구되지 않을 수도 있다는 것이 이해되어야 한다. 오히려, 몇몇 실시예에서, 이러한 특징은 예시적인 도면에 도시된 것과는 상이한 방식 및/또는 순서로 배열될 수 있다. 부가적으로, 특정 도면에서 구조적 또는 방법 특징의 포함은 이러한 특징이 모든 실시예에서 요구되고, 몇몇 실시예에서 포함되지 않을 수도 있거나 다른 특징과 조합될 수 있다는 것을 암시하도록 의도된 것은 아니다.In the drawings, certain structural or method features may be shown in a particular arrangement and / or order. However, it should be understood that this particular arrangement and / or order may not be required. Rather, in some embodiments, these features may be arranged in a different manner and / or order than those illustrated in the exemplary figures. Additionally, the inclusion of a structural or method feature in a particular figure is not intended to imply that such feature is required in all embodiments, and may not be included in some embodiments or combined with other features.

이제 도 1을 참조하면, 보안 이상의 분산형 검출을 위한 시스템(100)은 백본 네트워크 시스템(102), 백홀(backhaul) 네트워크 시스템(104), 하나 이상의 타워 시스템(106), 및 하나 이상의 가입자 디바이스(108)를 예시적으로 포함한다. 예시적인 실시예에서, 가입자 디바이스(108)는 타워 시스템(106)에 의해 백홀 네트워크 시스템(104)과 통신하고, 백홀 네트워크 시스템(104)은 적절한 데이터 패킷이 프로세싱 및/또는 추가의 라우팅을 위해 백본 네트워크 시스템(102)에 라우팅되는 것을 보장한다. 백본 네트워크 시스템(102), 백홀 네트워크 시스템(104), 타워 시스템(106), 및 가입자 디바이스(108)의 각각은 본 명세서에 설명된 기능을 수행하기 위해 임의의 적합한 디바이스 또는 디바이스의 집합으로서 구체화될 수 있다는 것이 이해되어야 한다. 예시적인 실시예에서, 백본 네트워크 시스템(102), 백홀 네트워크 시스템(104), 및 타워 시스템(106)의 각각은 가입자 디바이스(108) 및/또는 다른 디바이스 사이의 원격통신을 가능하게 한다(예를 들어, 인터넷을 통해). 또한, 백본 네트워크 시스템(102), 백홀 네트워크 시스템(104), 및 타워 시스템(106)은 특정 구현예에 따라 이들의 대응 기능을 용이하게 하기 위한 임의의 수의 디바이스, 네트워크, 라우터, 스위치, 컴퓨터, 및/또는 다른 개입 디바이스를 포함할 수도 있다.Referring now to FIG. 1, a system 100 for distributed detection over security includes a backbone network system 102, a backhaul network system 104, one or more tower systems 106, and one or more subscriber devices 108 < / RTI > In an exemplary embodiment, the subscriber device 108 communicates with the backhaul network system 104 by a tower system 106, and the backhaul network system 104 is configured to allow the appropriate data packets to be transmitted to the backbone network system 104 for processing and / To be routed to the network system 102. Each of backbone network system 102, backhaul network system 104, tower system 106, and subscriber device 108 may be embodied as any suitable device or set of devices for performing the functions described herein It should be understood. In the exemplary embodiment, each of backbone network system 102, backhaul network system 104, and tower system 106 enables remote communication between subscriber device 108 and / or other devices (e.g., For, over the Internet). The backbone network system 102, the backhaul network system 104, and the tower system 106 may also include any number of devices, networks, routers, switches, computers, and / or other devices for facilitating their corresponding functions, , ≪ / RTI > and / or other interventional devices.

몇몇 실시예에서, 백본 네트워크 시스템(102)은 가상 진화된 패킷 코어(Virtual Evolved Packet Core: vEPC) 아키텍처를 갖는 네트워크 기능 가상화(Network Function Virtualization: NFV) 기반 장기 진화(Long-Term Evolution: LTE) 백본 네트워크로서 구체화될 수 있다. 백본 네트워크 시스템(102)은 집중형 네트워크로서 기능할 수도 있고, 몇몇 실시예에서 다른 네트워크(예를 들어, 인터넷)에 통신적으로 결합될 수 있다는 것이 이해되어야 한다. 예시적인 실시예에서, 백홀 네트워크 시스템(104)은 백본 네트워크 시스템(102)을 타워 시스템(106), 서브네트워크, 및/또는 에지 네트워크에 통신적으로 결합하는(예를 들어, 중간 링크를 거쳐) 하나 이상의 디바이스를 포함한다. 몇몇 실시예에서, 백홀 네트워크 시스템(104)은 LTE 백홀 네트워크 시스템으로서 구체화될 수 있고, 예를 들어, T1, IP, 광학, ATM, 리스된, 및/또는 다른 네트워크를 포함하는 다양한 네트워크를 포함할 수 있다.In some embodiments, the backbone network system 102 includes a Network Function Virtualization (NFV) based Long-Term Evolution (LTE) backbone with a Virtual Evolved Packet Core (vEPC) Network. ≪ / RTI > It should be understood that the backbone network system 102 may function as a centralized network, and in some embodiments may be communicatively coupled to another network (e.g., the Internet). In an exemplary embodiment, the backhaul network system 104 is configured to communicatively couple the backbone network system 102 to the tower system 106, subnetwork, and / or edge network (e.g., via an intermediate link) One or more devices. In some embodiments, the backhaul network system 104 may be embodied as an LTE backhaul network system and may include various networks including, for example, T1, IP, optical, ATM, leased, and / .

타워 시스템(106)은 통신 디바이스, 예를 들어 모바일 컴퓨팅 디바이스(예를 들어, 이동 전화) 및/또는 다른 가입자 디바이스(108)가 서로 그리고/또는 다른 원격 디바이스와 통신하는 것을 허용하도록 구성된 하드웨어를 포함한다. 이와 같이 함으로써, 타워 시스템(106)은 가입자 디바이스(108)가 백홀 네트워크 시스템(104)과 통신하는 것을 가능하게 한다. 몇몇 실시예에서, 타워 시스템(106)의 하나 이상은 가입자 디바이스(108)(예를 들어, 모바일 컴퓨팅 디바이스 핸드셋) 중 하나 이상과 직접 또는 간접 통신하도록 구성된 진화된 노드(eNodeB)를 포함하거나 또는 다르게는 진화 노드로서 구체화될 수 있다. 또한, 타워 시스템(106)은 예를 들어 특정 실시예에 따라, 기지국 송수신기(base transceiver station: BTS) 또는 다른 스테이션/시스템을 포함하거나 또는 이들로서 기능할 수 있다. 가입자 디바이스(108)는 본 명세서에 설명된 기능을 수행하는 것이 가능한 임의의 유형의 컴퓨팅 디바이스로서 구체화될 수 있다. 예를 들어, LTE 백홀 및 백본 시스템이 이용되는 실시예에서, 가입자 디바이스(108)는 모바일 컴퓨팅 디바이스(예를 들어, 스마트폰)로서 구체화될 수 있고, 셀룰러 네트워크를 이용하도록 구성될 수 있다.The tower system 106 includes hardware configured to permit communication devices, e.g., mobile computing devices (e.g., mobile telephones) and / or other subscriber devices 108 to communicate with each other and / or with other remote devices do. By doing so, the tower system 106 enables the subscriber device 108 to communicate with the backhaul network system 104. In some embodiments, one or more of the tower systems 106 includes an evolved node (eNodeB) configured to directly or indirectly communicate with one or more of the subscriber devices 108 (e. G., A mobile computing device handset) May be embodied as an evolutionary node. In addition, the tower system 106 may include or function as a base transceiver station (BTS) or other station / system, for example, in accordance with certain embodiments. Subscriber device 108 may be embodied as any type of computing device capable of performing the functions described herein. For example, in an embodiment where an LTE backhaul and backbone system is used, the subscriber device 108 may be embodied as a mobile computing device (e.g., a smartphone) and configured to use a cellular network.

이하에 상세히 설명되는 바와 같이, 시스템(100)은 위협이 검출되고 작용되는 것을 보장하면서(예를 들어, 인터플로우 패킷 분석을 거쳐) 다양한 가상 네트워크 기능을 이용할 수 있다. 부가적으로, 시스템(100)은 신뢰된 실행 환경(Trusted Execution Environment: TEE)을 사용하여 가상 플랫폼 상에 향상된 세부적(fine-grain) 보안 검사 기능을 제공할 수 있다. 후술되는 바와 같이, 예시적인 실시예에서, TEE는 Intel® Software Guard Extensions(SGX)과 같은 보안 구역(secure enclave)으로서 설정된다. 그러나, 다른 실시예에서, TEE는 예를 들어, 관리용이성 엔진(Manageability Engine: ME), 신뢰된 플랫폼 모듈(trusted platform module: TPM), 혁신 엔진(Innovation Engine: IE), 보안 파티션(secure partition), 개별 프로세서 코어로서 다른 방식으로 설정되거나 구체화될 수 있고 그리고/또는 다른 방식으로 설정될 수 있다.As described in detail below, the system 100 can utilize various virtual network functions (e.g., via an interflow packet analysis) while ensuring that threats are detected and acted upon. In addition, the system 100 may provide enhanced fine-grain security checking capabilities on the virtual platform using a Trusted Execution Environment (TEE). As described below, in the exemplary embodiment, the TEE is set as a secure enclave such as Intel® Software Guard Extensions (SGX). However, in other embodiments, the TEE may include, for example, a Manageability Engine (ME), a Trusted Platform Module (TPM), an Innovation Engine (IE) May be set or embodied in different ways as individual processor cores, and / or may be set in other manners.

네트워크 기능 가상화(NVF) 환경에서, 비가상화된 환경의 전통적인 양호하게 정의된 인터페이스는 일반적으로 이용불가능하고, NFV 시스템은 그 각각이 하나 이상의 가상 네트워크 기능 구성요소(Virtual Network Function Components: VNFC)를 포함할 수 있는 다수의 가상 네트워크 기능(VNF)을 포함할 수 있다는 것이 이해되어야 한다. VNF 및/또는 VNFC는 예를 들어 공유 메모리, 폐쇄되어 있는 OS- 또는 하이퍼바이저-특정 응용 프로그래밍 인터페이스(Application Programming Interfaces: APIs), 네트워크 가상 스위치 테스트 액세스 포인트(test access point: TAP), 및/또는 다른 메커니즘을 포함하는 다양한 상이한 메커니즘을 사용하여 서로 통신할 수 있다. 또한, 몇몇 실시예에서, 인트라-VNF 및/또는 인트라-VNF 트래픽은 예를 들어, 인터넷 프로토콜 보안(Internet Protocol security: IPsec) 또는 보안 소켓 계층(Secure Sockets Layer: SSL)을 사용하여 암호화될 수 있다. 이와 같이, 전통적인 메커니즘은 가상화된 환경에서 모든 트래픽에 대해 명백한 가시성을 갖고 효율적으로 동작하도록 전통적인 네트워크 검사 시스템을 위한 일관적인 방식을 제공하지 않을 수도 있다는 것이 이해되어야 한다.In a Network Functional Virtualization (NVF) environment, the traditional well-defined interface of the non-virtualized environment is generally unavailable, and the NFV system includes one or more Virtual Network Function Components (VNFC) (VNFs) that may be used to perform the functions described herein. The VNF and / or VNFC may include, for example, a shared memory, a closed OS- or hypervisor-specific application programming interfaces (APIs), a network virtual switch test access point (TAP), and / May communicate with each other using a variety of different mechanisms including other mechanisms. Also, in some embodiments, intra-VNF and / or intra-VNF traffic may be encrypted using, for example, Internet Protocol security (IPsec) or Secure Sockets Layer (SSL) . As such, it should be appreciated that traditional mechanisms may not provide a consistent approach for traditional network inspection systems to operate efficiently with clear visibility into all traffic in a virtualized environment.

그러나, 예시적인 실시예에서, 시스템(100)은 TEE의 능력을 사용하여(예를 들어, 마이크로코드(유코드), 하드웨어 인스트럭션, 및/또는 다른 메커니즘과 함께) 가상화된 시스템을 가로질러 패킷 및/또는 흐름을 검사하도록 구성된다. 예를 들어, 후술되는 바와 같이, 시스템(100)의 각각의 서버 또는 플랫폼은 플랫폼 보안 정책 검사기의 역할을 취하는 플랫폼-특정 TEE를 포함할 수 있다. 특히, 플랫폼-특정 TEE는 네트워크 MAC/이더넷 및/또는 다른 네트워크/통신 인터페이스로부터(예를 들어, 인터-IP측-채널 메커니즘을 통해) 오는(즉, 유입 및/또는 유출) 모든 패킷을 검사할 수 있다. 부가적으로, 플랫폼-특정 TEE는 하이퍼바이저(예를 들어, 가상 기계 모니터) 특권 및 정의된 API(예를 들어, HECI 인터페이스)를 사용하여 TEE와의 통신에 기초하여 공유 메모리 및/또는 독점 API를 검사할 수 있다. 플랫폼-특정 TEE는 부가적으로 또는 대안적으로 서명된 그리고 안티-롤백(anti-rollback) 보호된 마이크로코드(유코드) 패치에 호출된 더 높은 특권에 기초하여 로컬 및 공유 프로세서(예를 들어, CPU) 및 SoC 캐시 메모리를 검사할 수 있다. 몇몇 실시예에서, 플랫폼-특정 TEE는 보호된 인터-VNFC 및 인터-VNF 트래픽을 모니터링하기 위해 TEE-기반 인터-VNFC 터널키를 사용한다. 부가적으로 또는 대안적으로, 플랫폼-특정 TEE는 트래픽 데이터에 액세스하기 위해 다양한 가상 스위치 인터페이스 내로 그리고 TAP 내로 하이퍼바이저 액세스를 사용할 수 있다.However, in the exemplary embodiment, the system 100 may use the capabilities of the TEE to route packets and / or packets across the virtualized system (e.g., with microcode (uCode), hardware instructions, and / or other mechanisms) / RTI > For example, as described below, each server or platform of the system 100 may include a platform-specific TEE that takes on the role of a platform security policy verifier. In particular, the platform-specific TEE may inspect all packets coming (i.e., incoming and / or outgoing) from the network MAC / Ethernet and / or other network / communication interface (e.g. via the inter-IP side-channel mechanism) . Additionally, the platform-specific TEE may use shared memory and / or proprietary APIs based on communication with the TEE using a hypervisor (e.g., virtual machine monitor) privilege and a defined API (e.g., HECI interface) Can be inspected. The platform-specific TEE may additionally or alternatively be signed and signed on a local and shared processor (e. G., A < / RTI > CPU) and SoC cache memory. In some embodiments, the platform-specific TEE uses a TEE-based inter-VNFC tunnel key to monitor protected inter-VNFC and inter-VNF traffic. Additionally or alternatively, the platform-specific TEE may use hypervisor access into various virtual switch interfaces and into the TAP to access traffic data.

몇몇 실시예에서, TEE는 플랫폼 상의 다수의 소스로부터 정보를 수집할 수 있고 전통적인 시스템 내에서 행해진 것보다 훨씬 더 상세한 방식으로 이와 같이 행할 수 있다는 것이 이해되어야 한다. 예를 들어, TEE는 모든 또는 선택된 패킷, 네트워크 흐름을 모니터링하고, 패킷 수정을 트래킹하고, 그리고/또는 다른 모니터링 특징을 수행하도록 정책에 의해 구성가능할 수 있다. TEE는 수집된 데이터에 진보된 휴리스틱(heuristics)을 실행할 수 있고, 특정 정책에 따라, 위협 정보를 보유할 수 있다. 또한, TEE는 정책 및/또는 수신된 리미디에이션 인스트럭션(예를 들어, 특정 흐름 차단, 패킷 복사 등)에 기초하여 하나 이상의 리미디에이션 작용을 취할 수 있다. 몇몇 실시예에서, TEE는 시스템 차원 보안 위협 휴리스틱/분석을 실행할 수 있는 지명된 TEE(예를 들어, NFV 분산형 위협 검출 보안 시스템 상의)에 예외 및/또는 위협 휴리스틱을 전달할 수 있다. 몇몇 실시예에서, TEE는 분산형 위협 검출 시스템이 다른 TEE가 추가의(예를 들어, 더 넓은 스케일) 분석을 위해 지명된 TEE에 보안 정보를 전송하도록 설계되는 점에서 "지명된다"는 것이 이해되어야 한다. 후술되는 바와 같이, 몇몇 실시예에서, 지명된 TEE는 보안 서버 및/또는 분산형 위협 검출 보안 시스템 내에 포함될 수도 있다. 또한, 몇몇 실시예에서, 다수의 TEE는 시스템 차원 또는 서브시스템 차원 보안 위협 분석을 수행하도록 지명될 수 있고, TEE는 계층적으로 배열될 수 있다. 예를 들어, 실시예에서, 제 1 지명된 TEE는 제 1 서브시스템 내의 서버의 대응 TEE로부터 수신된 정보에 기초하여 제 1 서브시스템의 보안 위협 분석을 수행할 수 있고, 제 2 지명된 TEE는 제 2 서브시스템 내의 서버의 대응 TEE로부터 수신된 정보에 기초하여 제 2 서브시스템의 보안 위협 분석을 수행할 수도 있는 등이다. 각각의 이들 서브시스템 TEE(예를 들어, 제 1 및 제 2 지명된 TEE)는 더 하위 레벨 지명된 TEE로부터 수신된 정보에 기초하여 풀 시스템 차원(또는 더 큰 서브시스템 차원) 보안 위협 분석을 수행하기 위해 "더 상위" 계층 레벨에서 다른 지명된 TEE에 이들의 분석 및/또는 부가의 정보를 제공할 수 있다. 물론, 지명된 TEE의 수 및/또는 계층 레벨은 특정 실시예에 따라 다양할 수 있다.In some embodiments, it should be appreciated that the TEE can collect information from multiple sources on the platform and thus do so in a much more detailed manner than has been done in a traditional system. For example, the TEE may be configurable by policy to monitor all or selected packets, network flow, track packet modifications, and / or perform other monitoring features. TEE can carry out advanced heuristics on the collected data and, depending on the specific policy, can retain threat information. In addition, the TEE may take one or more remediation actions based on policies and / or received remade instructions (e.g., specific flow blocking, packet copying, etc.). In some embodiments, the TEE may deliver an exception and / or threat heuristic to a named TEE (e.g., on an NFV distributed threat detection security system) capable of performing system level security threat heuristics / analysis. In some embodiments, it is understood that the distributed threat detection system is "named" in that other TEEs are designed to transmit security information to a TEE named for further (e.g., wider scale) . As described below, in some embodiments, the named TEE may be included in a security server and / or distributed threat detection security system. Further, in some embodiments, multiple TEEs may be designated to perform system-level or subsystem-level security threat analysis, and TEEs may be hierarchically arranged. For example, in an embodiment, a first named TEE may perform a security threat analysis of a first subsystem based on information received from a corresponding TEE of a server in the first subsystem, and a second named TEE Perform security threat analysis of the second subsystem based on information received from the corresponding TEE of the server in the second subsystem, and so on. Each of these subsystems TEE (e.g., first and second named TEE) performs a full system dimension (or larger subsystem dimension) security threat analysis based on information received from a lower level named TEE Or additional information at the "higher" hierarchy level to other named TEEs. Of course, the number and / or hierarchical levels of named TEEs may vary according to the particular embodiment.

TEE의 계층 능력은 로컬 리미디에이션 동작이 정의되게 하고 동시에 다수의 플랫폼을 가로질러 VNF 및 VNFC를 스팬하는(span) 흐름을 위한 시스템 차원 위협 검출 및 리미디에이션을 가능하게 한다는 것이 이해되어야 한다. 몇몇 실시예에서, TEE는 모든 코드 및 데이터를 포함하여, 보호될 수도 있고, 단지 서명 검증 및 측정시에만 로딩될 수 있다(예를 들어, TPM 또는 가상 TPM을 사용하여). 또한, TEE는 TPV 및/또는 다른 벤더(vendor)를 인에이블링하기 위해 루트키(root key)에 의해 허가된 서명 검증된 제 3 파티 검증(third party verification: TPV) 코드를 실행하는 능력을 가질 수 있다. 본 명세서에 설명된 통신을 위한 인터페이스는 예를 들어, SoC 또는 프로세서 내의 인터-IP 통신(inter-IP communication: IPC), 디바이스-드라이버 모델(예를 들어, HECI 인터페이스), 가상 LAN 어태치먼트, 구성요소간 상호작용을 위한 기존의 프로토콜(예를 들어, PECI, SMBUS 등)을 포함할 수 있다는 것이 이해되어야 한다. 다른 실시예에서, 구성요소는 예를 들어, TLS-보호된 HTTPS 웹기반 REST API를 거쳐 통신할 수 있다. 몇몇 실시예에서, 시스템(100)은 플랫폼-, 하이퍼바이저-, 및 클라우드 OS-중립 방식으로 구현될 수 있다는 것이 또한 이해되어야 한다.It should be appreciated that the layered capability of the TEE enables system-wide threat detection and remediation for flows that span VNFs and VNFCs across multiple platforms while allowing local remediation behavior to be defined. In some embodiments, the TEE may be protected, including all code and data, and may only be loaded (e.g., using a TPM or a virtual TPM) only at signature verification and measurement. The TEE also has the ability to execute a third party verification (TPV) code that is signed validated by the root key to enable the TPV and / or other vendor . The interface for communication described herein may be, for example, an inter-IP communication (IPC) in a SoC or processor, a device-driver model (e.g., a HECI interface), a virtual LAN attachment, (E. G., PECI, SMBUS, etc.) for inter-user interaction. In another embodiment, the component may communicate via, for example, the TLS-protected HTTPS web-based REST API. It should also be appreciated that in some embodiments, the system 100 may be implemented in a platform-, hypervisor-, and cloud OS-neutral manner.

이제, 도 2를 참조하면, 예시적인 실시예에서, 백본 네트워크 시스템(102)은 하나 이상의 VNF(202), 하나 이상의 서버(204), 및 보안 서버(206)를 포함한다. 부가적으로, 몇몇 실시예에서, 백본 네트워크 시스템(102)은 리미디에이션 서버(208) 및/또는 오케스트레이터(orchestrator)(210)를 포함한다. 단지 하나의 보안 서버(206), 하나의 리미디에이션 서버(208), 및 하나의 오케스트레이터(210)만이 도 2에 예시적으로 도시되어 있지만, 백본 네트워크 시스템(102)은 다른 실시예에서 임의의 수의 보안 서버(206), 리미디에이션 서버(208), 및/또는 오케스트레이터(210)를 포함할 수 있다. 예를 들어, 다수의 보안 서버(206)가 포함될 수 있고, 그 각각은 계층 및 분산형 위협 검출을 위해 본 명세서에 설명된 바와 같이 지명된 TEE를 포함할 수 있다. 몇몇 실시예에서, 각각의 서버(204) 및 보안 서버(206)는 유사한 하드웨어, 소프트웨어, 및/또는 펌웨어 구성요소를 포함할 수 있다는 것이 이해되어야 한다. 또한, 몇몇 실시예에서, 보안 서버(206)는 보안 서버(206)가 본 명세서에 설명된 바와 같이 지명된 TEE를 포함하는 것을 제외하고는 서버(204) 중 하나로서 구체화될 수 있다.2, in an exemplary embodiment, the backbone network system 102 includes one or more VNFs 202, one or more servers 204, and a security server 206. As shown in FIG. Additionally, in some embodiments, the backbone network system 102 includes a remade server 208 and / or an orchestrator 210. Although only one security server 206, one remade server 208, and one or more orchestrator 210 are shown as exemplary in FIG. 2, the backbone network system 102 may be implemented in any other embodiment A security server 206, a remediation server 208, and / or an orchestrator 210, as shown in FIG. For example, multiple security servers 206 may be included, each of which may include a TEE named as described herein for hierarchical and distributed threat detection. It is to be appreciated that in some embodiments, each server 204 and security server 206 may comprise similar hardware, software, and / or firmware components. In addition, in some embodiments, the security server 206 may be embodied as one of the servers 204 except that the security server 206 includes a designated TEE as described herein.

이제, 도 3을 참조하면, 시스템(102)의 서버(204, 206)의 예시적인 실시예가 도시되어 있다. 도시된 바와 같이, 예시적인 서버(204, 206)는 프로세서(310), 입출력("I/O" 서브시스템)(312), 메모리(314), 데이터 저장 장치(316), 통신 회로(318), 및 하나 이상의 주변 디바이스(320)를 포함한다. 부가적으로, 몇몇 실시예에서, 서버(204, 206)는 보안 코프로세서(322)를 포함할 수 있다. 물론, 서버(204, 206)는 다른 실시예에서, 통상의 컴퓨팅 디바이스 내에서 통상적으로 발견되는 것들(예를 들어, 다양한 입출력 디바이스 및/또는 다른 구성요소)과 같은 다른 또는 부가의 구성요소를 포함할 수 있다. 부가적으로, 몇몇 실시예에서, 예시적인 구성요소의 하나 이상은 다른 구성요소 내에 합체되거나 또는 다르게는 다른 구성요소의 부분을 형성할 수도 있다. 예를 들어, 메모리(314), 또는 그 부분은 몇몇 실시예에서 프로세서(310) 내에 합체될 수 있다.Referring now to FIG. 3, an exemplary embodiment of a server 204, 206 of system 102 is shown. As shown, exemplary servers 204 and 206 include a processor 310, an input / output ("I / O" subsystem) 312, a memory 314, a data storage 316, a communication circuit 318, , And one or more peripheral devices (320). Additionally, in some embodiments, the servers 204, 206 may include a secure coprocessor 322. [ Of course, the servers 204,206 may, in other embodiments, include other or additional components, such as those typically found in conventional computing devices (e.g., various input / output devices and / or other components) can do. Additionally, in some embodiments, one or more of the example components may be incorporated into another component or otherwise form part of another component. For example, the memory 314, or portions thereof, may be incorporated within the processor 310 in some embodiments.

프로세서(310)는 본 명세서에 설명된 기능을 수행하는 것이 가능한 임의의 유형의 프로세서로서 구체화될 수 있다. 예를 들어, 프로세서(310)는 단일 또는 멀티-코어 프로세서(들), 디지털 신호 프로세서, 마이크로콘트롤러, 또는 다른 프로세서 또는 프로세싱/제어 회로로서 구체화될 수 있다. 도시된 바와 같이, 프로세서(310)는 하나 이상의 캐시 메모리(324)를 포함할 수 있다. 메모리(314)는 본 명세서에 설명된 기능을 수행하는 것이 가능한 임의의 유형의 휘발성 또는 비휘발성 메모리 또는 데이터 저장 장치로서 구체화될 수 있다는 것이 이해되어야 한다. 동작시에, 메모리(314)는 운영 체제, 애플리케이션, 프로그램, 라이브러리, 및 드라이버와 같은 서버(204, 206)의 동작 중에 사용된 다양한 데이터 및 소프트웨어를 저장할 수 있다. 메모리(314)는 프로세서(310), 메모리(314), 및 서버(204, 206)의 다른 구성요소와 입출력 동작을 용이하게 하기 위해 회로 및/또는 구성요소로서 구체화될 수 있는 I/O 서브시스템(312)을 거쳐 프로세서(310)에 통신적으로 결합된다. 예를 들어, I/O 서브시스템(312)은 메모리 콘트롤러 허브, 입출력 제어 허브, 펌웨어 디바이스, 통신 링크(즉, 점대점 링크, 버스 링크, 와이어, 케이블, 라이트 가이드, 인쇄 회로 기판 트레이스 등) 및/또는 입출력 동작을 용이하게 하기 위한 다른 구성요소 및 서브시스템으로서 구체화되거나, 또는 다르게는 이들을 포함할 수도 있다. 몇몇 실시예에서, I/O 서브시스템(312)은 시스템 온 칩(system-on-a-chip: SoC)의 부분을 형성하고, 프로세서(310), 메모리(314), 및 서버(204, 206)의 다른 구성요소와 함께, 단일의 집적 회로 칩 상에 합체될 수 있다.The processor 310 may be embodied as any type of processor capable of performing the functions described herein. For example, the processor 310 may be embodied as a single or multi-core processor (s), a digital signal processor, a microcontroller, or some other processor or processing / control circuitry. As shown, the processor 310 may include one or more cache memories 324. It is to be understood that the memory 314 may be embodied as any type of volatile or non-volatile memory or data storage device capable of performing the functions described herein. In operation, the memory 314 may store various data and software used during operation of the server 204, 206, such as an operating system, applications, programs, libraries, and drivers. The memory 314 includes an I / O subsystem 314 that may be embodied as circuitry and / or components to facilitate input / output operations with the processor 310, the memory 314, and other components of the server 204, Lt; RTI ID = 0.0 > 310 < / RTI > For example, the I / O subsystem 312 may include a memory controller hub, an input / output control hub, a firmware device, a communication link (i.e., point-to-point link, bus link, wire, cable, light guide, printed circuit board trace, etc.) / RTI > and / or other components and subsystems for facilitating input / output operations. In some embodiments, the I / O subsystem 312 forms part of a system-on-a-chip (SoC) and includes a processor 310, a memory 314, Together with other components of the integrated circuit chip.

데이터 저장 장치(316)는 예를 들어, 메모리 디바이스 및 회로, 메모리 카드, 하드 디스크 드라이브, 고체 상태 드라이브, 또는 다른 데이터 저장 디바이스와 같은 데이터의 단기 또는 장기 저장을 위해 구성된 임의의 유형의 디바이스 또는 디바이스들로서 구체화될 수 있다. 데이터 저장 장치(316) 및/또는 메모리(314)는 본 명세서에 설명된 기능을 수행하기 위해 유용한 서버(204, 206)의 동작 중에 다양한 데이터를 저장할 수 있다.The data storage device 316 may be any type of device or device configured for short-term or long-term storage of data, such as, for example, memory devices and circuits, memory cards, hard disk drives, solid state drives, Lt; / RTI > The data storage 316 and / or memory 314 may store various data during operation of the servers 204,206 useful for performing the functions described herein.

통신 회로(318)는 네트워크를 통해 서버(204, 206)와 다른 원격 디바이스 사이의 통신을 인에이블링하는 것이 가능한 임의의 통신 회로, 디바이스 또는 이들의 집합으로서 구체화될 수 있다. 통신 회로(318)는 이러한 통신을 실행하기 위해 임의의 하나 이상의 통신 기술(예를 들어, 무선 또는 유선 통신) 및 연계된 프로토콜(예를 들어, 이더넷, Bluetooth®, Wi-Fi®, WiMAX 등)을 사용하도록 구성될 수 있다. 몇몇 실시예에서, 통신 회로(318)는 셀룰러 통신 회로 및/또는 다른 장거리 무선 통신 회로를 포함한다.The communication circuitry 318 may be embodied as any communication circuitry, device, or collection thereof capable of enabling communication between the server 204, 206 and another remote device over the network. Communication circuitry 318 may be any of a number of communication technologies (e.g., wireless or wired communication) and associated protocols (e.g., Ethernet, Bluetooth®, Wi-Fi®, WiMAX, As shown in FIG. In some embodiments, communication circuit 318 includes cellular communication circuitry and / or other long distance wireless communication circuitry.

주변 디바이스(320)는 스피커, 마이크로폰, 부가의 저장 디바이스 등과 같은 임의의 수의 부가의 주변 또는 인터페이스 디바이스를 포함할 수 있다. 주변 디바이스(320) 내에 포함된 특정 디바이스는 예를 들어 서버(204, 206)의 유형 및/또는 의도된 사용에 의존할 수 있다.Peripheral device 320 may include any number of additional peripheral or interface devices, such as speakers, microphones, additional storage devices, and the like. The particular device included in the peripheral device 320 may depend, for example, on the type and / or intended use of the server 204,206.

보안 코프로세서(322)는 포함되면, 보안 기능, 암호화 기능을 수행하고 그리고/또는 신뢰된 실행 환경을 설정하는 것이 가능한 임의의 하드웨어 구성요소(들) 또는 회로로서 구체화될 수 있다. 예를 들어, 몇몇 실시예에서, 보안 코프로세서(322)는 신뢰된 플랫폼 모듈(TPM) 또는 대역외 프로세서로서 구체화될 수 있다. 부가적으로, 몇몇 실시예에서, 보안 코프로세서(322)는 원격 디바이스(예를 들어, 다른 서버(204, 206)의 대응 보안 코프로세서(322))와 대역외 통신 링크를 설정할 수 있다.The security coprocessor 322, if included, may be embodied as any hardware component (s) or circuitry capable of performing security functions, encryption functions, and / or establishing a trusted execution environment. For example, in some embodiments, the secure coprocessor 322 may be embodied as a trusted platform module (TPM) or an out-of-band processor. Additionally, in some embodiments, the secure coprocessor 322 may establish an out-of-band communication link with a remote device (e.g., the corresponding security coprocessor 322 of the other server 204, 206).

도 2를 재차 참조하면, 도시된 바와 같이, 백본 네트워크 시스템(102)은 그 각각이 하나 이상의 가상 네트워크 기능 구성요소(VNFC)(212)를 포함할 수 있는 하나 이상의 가상 네트워크 기능(VNF)(202)을 포함한다. VNF(202)는 임의의 적합한 가상 네트워크 기능으로서 구체화될 수 있고; 유사하게, VNFC(212)는 임의의 적합한 VNF 구성요소로서 구체화될 수 있다는 것이 이해되어야 한다. 예를 들어, 몇몇 실시예에서, VNF(202)는 보안 게이트웨이(SGW), 패킷 데이터 네트워크 게이트웨이(PNG), 빌링 기능, 및/또는 다른 가상 네트워크 기능을 포함할 수 있다. 몇몇 실시예에서, 특정 VNF(202)는 동일한 서버(204, 206) 또는 상이한 서버(204, 206) 상에서 실행될 수 있는 다수의 서브-인스턴스를 가질 수 있다. 달리 말하면, 가상화될 때, 특정 서버(204, 206)와 코로케이팅된 물리적 하드웨어에 의해 전통적으로 핸들링되는 네트워크 기능은 서버(204, 206) 중 하나 이상을 가로질러 VNF(202)로서 분산될 수 있다. 예시적인 실시예에서, VNFC(212)는 하나 이상의 VNF(202)의 기능성을 전달하도록 협동하는 프로세스 및/또는 인스턴스이다. 예를 들어, 몇몇 실시예에서, VNFC(212)는 VNF(202)의 서브모듈이다. VNF(202)에 유사하게, VNFC(212)는 하나 이상의 서버(204, 206)를 가로질러 분산될 수 있다는 것이 이해되어야 한다. 또한, 특정 VNFC(212)는 다수의 서버(204, 206)를 가로질러 분산될 수 있고, 단일 서버(204, 206) 상에 설정된 VNF(202)의 부분을 여전히 형성할 수 있다는 것이 이해되어야 한다.2, backbone network system 102 includes one or more virtual network functions (VNFs) 202, each of which may include one or more virtual network functional components (VNFCs) ). VNF 202 may be embodied as any suitable virtual network function; Similarly, it should be understood that the VNFC 212 may be embodied as any suitable VNF component. For example, in some embodiments, the VNF 202 may include a security gateway (SGW), a packet data network gateway (PNG), a billing function, and / or other virtual network functions. In some embodiments, a particular VNF 202 may have multiple sub-instances that can be executed on the same server 204, 206 or on different servers 204, 206. In other words, when virtualized, network functionality traditionally handled by physical hardware corroded with a particular server 204, 206 may be distributed as VNF 202 across one or more of the servers 204, 206 have. In an exemplary embodiment, the VNFC 212 is a process and / or instance that cooperates to deliver functionality of one or more VNFs 202. For example, in some embodiments, the VNFC 212 is a sub-module of the VNF 202. It should be understood that, similar to VNF 202, VNFC 212 may be distributed across one or more servers 204, 206. It should also be understood that a particular VNFC 212 may be distributed across multiple servers 204 and 206 and still form portions of the VNF 202 that are set up on a single server 204,206 .

본 명세서에 설명된 바와 같이, 예시적인 실시예에서, 하나 이상의 서버(204, 206)의 VNF(202)는 예를 들어, 하나 이상의 인터-VNF 통신 메커니즘을 거쳐 인터-VNF 통신 네트워크(240)를 통해 서로 통신할 수 있다. 유사하게, 하나 이상의 서버(204, 206)의 VNFC(212)는 예를 들어 하나 이상의 인터-VNFC 통신 메커니즘을 거쳐 인터-VNFC 통신 네트워크(242)를 통해 서로 통신할 수 있다. 인터-VNF 및 인터-VNFC 통신 메커니즘은 인터-VNF 및/또는 인터-VNFC 통신을 인에이블링하도록 구성된 임의의 적합한 메커니즘으로서 구체화될 수 있다는 것이 이해되어야 한다. 예를 들어, 몇몇 실시예에서, VNF(202) 및/또는 VNFC(212)는 표준 포맷, 공유 메모리(예를 들어, 하이퍼바이저에 의해 확보된 물리적/가상 메모리), 및/또는 다른 적합한 메커니즘에 기초하여 하이퍼바이저 및 패킷 파싱(parsing), 포맷된 패킷을 갖는 개방 스위치를 사용하여 서로 통신할 수 있다. 예시적인 실시예에서, 특정 VNF(202) 또는 VNFC(212)가 그 위에서 실행하는 서버(204, 206)의 TEE는 특정 VNF(202) 또는 VNFC(212)와 연계된 인터-VNF 및 인터-VNFC 통신을 판독하도록(직접 또는 간접) 구성된다.As described herein, in an exemplary embodiment, the VNF 202 of one or more servers 204, 206 may communicate with an inter-VNF communication network 240 via one or more inter-VNF communication mechanisms, for example, They can communicate with each other. Similarly, the VNFCs 212 of one or more servers 204, 206 may communicate with each other via the inter-VNFC communication network 242, for example, via one or more inter-VNFC communication mechanisms. It should be appreciated that the inter-VNF and inter-VNFC communication mechanisms may be embodied as any suitable mechanism configured to enable inter-VNF and / or inter-VNFC communication. For example, in some embodiments, the VNF 202 and / or the VNFC 212 may be in a standard format, a shared memory (e.g., physical / virtual memory secured by the hypervisor), and / Can communicate with each other using a hypervisor and an open switch with packet parsing, formatted packets. In an exemplary embodiment, the TEE of the server 204, 206 on which the particular VNF 202 or VNFC 212 executes is determined by the inter-VNF and inter-VNFC 212 associated with the particular VNF 202 or VNFC 212, (Direct or indirect) to read the communication.

VNF(202)는 서비스 체인 내로 패킷을 프로세싱할 수 있다는 것이 이해되어야 한다. 그러나, 동작 중에, 하나 이상의 실행시간 위협이 시스템 내로 인젝트될 수도 있는데, 이는 특정 정책에 의해 요구되는 바와 같은 전체 서비스 체인에 의해 프로세싱되는 패킷 또는 흐름의 세트를 우회할 수 있다. 이와 같이, 서버(204, 206)의 TEE는 예를 들어, 악의적 TCP 싱크 플러드, 패킷 드롭, 흐름 단절, 애플리케이션-레벨 정책의 위반, 및 다른 잠재적인 보안 위협을 포함하는 이러한 이상 및 비정상 VNF 실행시간 거동을 식별하는데 이용될 수 있다. 이와 같이, TEE는 서버의 보안 정책 감시자로서 역할을 취할 수 있다.It should be appreciated that the VNF 202 may process packets into the service chain. However, during operation, one or more runtime threats may be injected into the system, which may bypass a set of packets or flows that are processed by the entire service chain as required by a particular policy. As such, the TEEs of the servers 204 and 206 may be used to detect these abnormal and abnormal VNF execution times, including malicious TCP sink floods, packet drops, flow disruptions, violations of application-level policies, and other potential security threats Can be used to identify the behavior. Thus, TEE can act as a server security policy watcher.

도 2의 예시적인 실시예에서, 각각의 서버(204)는 하이퍼바이저(214), 메모리(314), 캐시(324), 하나 이상의 엔진(220), 하나 이상의 네트워크 인터페이스(222), 및 신뢰된 실행 환경(224)을 포함한다. 부가적으로, 하이퍼바이저(214)는 하나 이상의 API(226), 가상 스위칭(vS 스위치)(228), 하나 이상의 암호화 터널(230), 및 공유 메모리(232)를 포함한다. 물론, 서버(204)는 몇몇 실시예에서 설명의 명료화를 위해 생략되어 있는 부가의 구성요소를 포함할 수 있다.In the exemplary embodiment of FIG. 2, each server 204 includes a hypervisor 214, a memory 314, a cache 324, one or more engines 220, one or more network interfaces 222, And an execution environment 224. Additionally, the hypervisor 214 includes one or more APIs 226, a virtual switching (vS switch) 228, one or more cryptographic tunnels 230, and a shared memory 232. Of course, the server 204 may include additional components that are omitted for clarity of description in some embodiments.

하이퍼바이저(214) 또는 가상 기계 모니터는 대응 서버(204) 상에 하나 이상의 가상 기계(VM)를 실행한다. 이와 같이, 하이퍼바이저(214)는 다양한 가상화된 하드웨어 리소스(예를 들어, 가상 메모리, 가상 운영 체제, 가상 네트워킹 구성요소 등)를 설정하고 그리고/또는 이용할 수 있다. 하이퍼바이저(214) 및/또는 서버(204) 내에 포함된 특정 API(226)는 일반적으로 특정 서버(204)에 따라 다양할 수 있다. 몇몇 실시예에서, API(226)는 하나 이상의 독점 API를 포함한다. 몇몇 실시예에서, API(226)는 이들 패킷이 TEE(224)에 의해 분석될 수 있도록 패킷(예를 들어, 특정 VNF(202)와 연계된)에 액세스를 제공할 수 있다. 가상 스위치(228)는 네트워크 정책을 시행하고 그리고/또는 동작(예를 들어, 패킷 드롭, 흐름 모니터링, 심도 검사 수행, 리미디에이션 동작 수행 등)을 시행하도록 이용될 수 있다. 예를 들어, 가상 스위치(216)는 시스템(102) 내의 가상 기계(VM)의 네트워킹을 허용할 수 있다. 후술되는 바와 같이, 몇몇 실시예에서, 서버(204)는 보안 통신을 위해(예를 들어, 보안 서버(206)와, VNF(202) 사이의 그리고/또는 VNFC(212) 사이의 통신을 위해) 암호화 터널(218)을 설정할 수 있다. 몇몇 실시예에서, 암호화 터널(218)은 서버(204)의 TEE(224)에 의해 판독될 수 있다(예를 들어, 대응 암호화키로의 액세스에 의해 암호화된 형태 또는 비암호화된 형태로). 부가적으로, 몇몇 실시예에서, 하나 이상의 VM, VNF(202), 및/또는 VNFC(212)는 공유 메모리(232)를 이용할 수 있다. 예를 들어, 몇몇 실시예에서, VNF(202) 및 VNFC(212)는 서로 통신하도록 공유 메모리(232)를 이용할 수 있다. 공유 메모리(232)는 특정 실시예에 따라 물리적 메모리 및/또는 가상 메모리를 포함할 수 있다는 것이 이해되어야 한다. 예시적인 실시예에서, 특정 서버(204)의 TEE(224)는 하나 이상 패킷/흐름의 보안 위협 분석을 위해 데이터를 검색하도록 그 서버(204)의 API(226), 가상 스위치(228), 암호화 터널(230), 및 공유 메모리(232)의 각각에 액세스할 수 있다. 부가적으로, TEE(224)는 이러한 분석을 위해 인터-VNF 및 인터-VNFC 통신에 액세스할 수 있다.The hypervisor 214 or the virtual machine monitor executes one or more virtual machines (VM) on the corresponding server 204. As such, the hypervisor 214 may set and / or utilize various virtualized hardware resources (e.g., virtual memory, virtual operating system, virtual networking components, etc.). The particular API 226 included in the hypervisor 214 and / or the server 204 may generally vary according to the particular server 204. [ In some embodiments, the API 226 includes one or more proprietary APIs. In some embodiments, the API 226 may provide access to packets (e.g., associated with a particular VNF 202) such that these packets may be analyzed by the TEE 224. Virtual switch 228 may be utilized to enforce network policies and / or to enforce actions (e.g., packet drop, flow monitoring, performing depth inspection, performing remediation operations, etc.). For example, virtual switch 216 may allow networking of virtual machines (VMs) in system 102. As discussed below, in some embodiments, the server 204 may be configured for secure communication (e.g., for communication between the security server 206 and the VNF 202 and / or the VNFC 212) The encryption tunnel 218 can be set. In some embodiments, the encryption tunnel 218 may be read by the TEE 224 of the server 204 (e.g., in an encrypted form or in an unencrypted form by access to a corresponding encryption key). Additionally, in some embodiments, one or more VMs, VNF 202, and / or VNFC 212 may utilize shared memory 232. For example, in some embodiments, VNF 202 and VNFC 212 may utilize shared memory 232 to communicate with each other. It should be understood that the shared memory 232 may comprise physical memory and / or virtual memory in accordance with certain embodiments. In an exemplary embodiment, the TEE 224 of a particular server 204 may be configured to provide an API 226, a virtual switch 228, a cryptographic key 228 of the server 204 to retrieve data for security threat analysis of one or more packets / Tunnel 230, and shared memory 232, respectively. Additionally, TEE 224 may access inter-VNF and inter-VNFC communications for this analysis.

전술된 바와 같이, 서버(204)는 메모리(314), 캐시(324), 엔진(220), 네트워크 인터페이스(222), 및 TEE(224)를 포함한다. 메모리(314)는 본 명세서에 설명된 기능을 수행하는 것이 가능한 임의의 유형의 휘발성 또는 비휘발성 메모리 또는 데이터 저장 장치로서 구체화될 수 있다는 것이 이해되어야 한다. 또한, 몇몇 실시예에서, 메모리(314)는 소프트웨어 정의된 저장 장치를 포함할 수 있다. 하나 이상의 엔진(220)은 보안 평가를 준비할 때 TEE(224) 및/또는 보안 서버(206)에 유용한 데이터를 발생하는 임의의 하드웨어, 펌웨어, 및/또는 소프트웨어 구성요소로서 구체화될 수 있다. 예를 들어, 엔진(220)은 SoC, 그래픽 엔진, 보안 엔진, 오디오 엔진, 암호화 모듈, TPM, 코프로세서, 통신 링크 또는 채널, 스위치, 및/또는 데이터를 프로세싱하거나 다른 방식으로 핸들링하도록 구성된 다른 엔진을 포함할 수 있다. 네트워크 인터페이스(222)는 데이터 패킷의 네트워킹 프로세스와 연계된 임의의 인터페이스로서 구체화될 수 있다. 예를 들어, 몇몇 실시예에서, 네트워크 인터페이스(222)는 네트워크 MAC/이더넷 인터페이스, 소프트웨어 정의된 네트워킹 모듈, 및/또는 다른 네트워크 인터페이스를 포함한다.As described above, the server 204 includes a memory 314, a cache 324, an engine 220, a network interface 222, and a TEE 224. It is to be understood that the memory 314 may be embodied as any type of volatile or non-volatile memory or data storage device capable of performing the functions described herein. Further, in some embodiments, the memory 314 may comprise a software defined storage device. One or more of the engines 220 may be embodied as any hardware, firmware, and / or software component that generates data useful to the TEE 224 and / or security server 206 when preparing for security evaluation. For example, engine 220 may be a SoC, a graphics engine, a security engine, an audio engine, a cryptographic module, a TPM, a coprocessor, a communication link or other engine configured to process or otherwise handle data, . ≪ / RTI > The network interface 222 may be embodied as any interface associated with the networking process of the data packet. For example, in some embodiments, the network interface 222 includes a network MAC / Ethernet interface, a software defined networking module, and / or other network interfaces.

상기에 지시된 바와 같이, 예시적인 실시예에서, TEE(224)는 Intel® Software Guard Extensions(SGX)과 같은 보안 구역으로서 설정된다. 그러나, 다른 실시예에서, TEE(224)는 예를 들어, 관리용이성 엔진(ME), 신뢰된 플랫폼 모듈(TPM), 혁신 엔진(IE), 보안 파티션, 개별 프로세서 코어로서 다른 방식으로 설정될 수 있고 그리고/또는 다른 방식으로 설정될 수 있다. 예를 들어, 몇몇 실시예에서, TEE(224)는 보안 코프로세서(322)로서 구체화되거나 또는 설정될 수 있다. 본 명세서에 설명되는 바와 같이, TEE(224)는 보안 분석을 수행하는데 사용될 수 있는 서버(204)의 다양한 구성요소로부터 데이터를 검색하도록 구성될 수 있다. 몇몇 실시예에서, TEE(224)는 검색된 데이터에 기초하여 로컬 보안 분석을 수행할 수 있다. 또한, 예시된 실시예에서, TEE(224)는 보안 서버(206)의 대응 TEE(224)에(즉, 지명된 TEE(224)에) 보안 위협 평가된 데이터(즉, 수집된 데이터 및/또는 분석 결과)를 전송한다. 예시적인 실시예에서, TEE(224)는 대역외 통신 네트워크를 통해 서로 통신할 수 있다는 것이 이해되어야 한다.As indicated above, in the exemplary embodiment, the TEE 224 is configured as a secure zone, such as Intel® Software Guard Extensions (SGX). However, in other embodiments, the TEE 224 may be configured in other ways, for example, as a manageability engine (ME), a trusted platform module (TPM), an innovation engine And / or may be set differently. For example, in some embodiments, TEE 224 may be embodied or set as secure coprocessor 322. As described herein, TEE 224 may be configured to retrieve data from various components of server 204 that may be used to perform security analysis. In some embodiments, the TEE 224 may perform a local security analysis based on the retrieved data. In addition, in the illustrated embodiment, the TEE 224 is configured to provide security threat assessed data (i.e., collected data and / or data) to the corresponding TEE 224 of the security server 206 (i. E., To the named TEE 224) Analysis result). It should be understood that in an exemplary embodiment, TEE 224 can communicate with each other via an out-of-band communication network.

본 명세서에 설명되는 바와 같이, 보안 서버(206)의 지명된 TEE(224)는 시스템 차원(또는 더 큰 서브시스템 차원) 보안 평가를 수행한다. 몇몇 실시예에서, 보안 서버(206)는 보안 평가와 연계된 리미디에이션 인스트럭션(즉, 서버(204)에 의해 수행될 적합한 동작)을 요청하기 위해 리미디에이션 서버(208)와 통신할 수 있다. 도 2에 도시된 바와 같이, 리미디에이션 서버(208)는 클라우드 컴퓨팅 환경(234) 내에 포함될 수 있고, 이 경우에 리미디에이션 서버(208)는 적절한 리미디에이션 동작/인스트럭션을 결정하기 위해 오케스트레이터(210)를 참고할 수 있다. 리미디에이션 서버(208) 및 오케스트레이터(210)는 본 명세서에 설명된 기능을 수행하는 것이 가능한 임의의 서버 또는 컴퓨팅 디바이스로서 구체화될 수 있다. 또한, 리미디에이션 서버(208) 및 오케스트레이터(210)는 전술된 서버(204, 206)의 구성요소와 유사한 구성요소 및/또는 설명의 명료화를 위해 도 2에는 도시되어 있지 않은 프로세서, 메모리, I/O 서브시스템, 데이터 저장 장치, 주변 디바이스 등과 같은 서버 내에서 통상적으로 발견되는 구성요소를 포함할 수 있다.As described herein, the named TEE 224 of the security server 206 performs a system-wide (or larger subsystem-wide) security assessment. In some embodiments, the security server 206 may communicate with the remediation server 208 to request a remediation instruction associated with the security evaluation (i.e., an appropriate action to be performed by the server 204) . 2, the remediation server 208 may be included in the cloud computing environment 234, in which case the remediation server 208 may use the < RTI ID = 0.0 > Okey < The strainer 210 can be referred to. The remade server 208 and the orchestrator 210 may be embodied as any server or computing device capable of performing the functions described herein. In addition, the remade server 208 and orchestrator 210 may include a processor, memory, and / or processor (not shown) for clarity of description and / or components similar to those of the servers 204, I / O subsystems, data storage devices, peripheral devices, and the like.

이제, 도 4를 참조하면, 서버(204, 206) 중 하나 이상은 보안 이상의 분산형 검출을 위한 환경(400)을 설정한다. 서버(204, 206)의 예시적인 실시예(400)는 보안 모듈(402), 신뢰된 실행 환경 모듈(404), 통신 모듈(406), 보안 위협 데이터베이스(408), 하나 이상의 정책(410)(예를 들어, 보안 및/또는 구성 정책), 및 휴리스틱 코드(412)를 포함한다. 환경(400)의 각각의 모듈은 하드웨어, 소프트웨어, 펌웨어, 또는 이들의 조합으로서 구체화될 수 있다. 부가적으로, 몇몇 실시예에서, 예시적인 모듈의 하나 이상은 다른 모듈의 부분을 형성할 수 있고 그리고/또는 예시적인 모듈의 하나 이상은 자립형 또는 독립적인 모듈로서 구체화될 수 있다. 예를 들어, 환경(400)의 각각의 모듈, 로직, 및 다른 구성요소는 서버(204, 206)의 프로세서(310)의 부분을 형성하거나, 또는 다르게는 이 프로세서에 의해 설정될 수 있다.Referring now to FIG. 4, one or more of the servers 204, 206 establish an environment 400 for distributed detection over security. Exemplary embodiments 400 of servers 204 and 206 include a security module 402, a trusted execution environment module 404, a communication module 406, a security threat database 408, one or more policies 410 (E.g., security and / or configuration policy), and heuristic code 412. Each module of the environment 400 may be embodied as hardware, software, firmware, or a combination thereof. Additionally, in some embodiments, one or more of the exemplary modules may form portions of other modules and / or one or more of the exemplary modules may be embodied as stand-alone or independent modules. For example, each module, logic, and other component of the environment 400 may form part of, or otherwise be configured by, the processor 310 of the server 204, 206.

보안 모듈(402)은 서버(206)를 위한 다양한 보안 기능을 수행하도록 구성된다. 예를 들어, 보안 모듈(402)은 암호화키, 서명, 해시의 발생 및 검증을 핸들링하고, 그리고/또는 다른 암호화 기능을 수행할 수 있다.The security module 402 is configured to perform various security functions for the server 206. For example, the security module 402 may handle the generation and verification of encryption keys, signatures, hashes, and / or perform other encryption functions.

신뢰된 실행 환경 모듈(404)은 신뢰된 실행 환경(예를 들어, TEE(224)) 또는 다른 보안 환경을 서버(204, 206) 내에 설정한다. 전술된 바와 같이, TEE(224)는 다른 서버(204, 206)의 대응 TEE(224)와 신뢰된 관계를 수립할 수 있다. 예를 들어, 이와 같이 함으로써, TEE(224)는 암호화키 교환을 수행할 수 있다. 몇몇 실시예에서, TEE(224)는 설정된 암호화된 그리고/또는 다른 보안 터널을 통해 서로 통신할 수 있다. 전술된 바와 같이, 몇몇 실시예에서, TEE(224)는 대역외 통신 채널(즉, 대응 서버(204, 206) 사이의 공통 통신 채널로부터 분리된 통신 채널)을 통해 서로 통신할 수 있다. 예를 들어, 서버(204) 중 하나의 TEE(224)는 보안 서버(206)의 TEE(224)와 신뢰된 관계를 수립할 수 있다. 또한, 전술된 바와 같이, TEE(224)는 VNFC-VNFC 및 VNF-VNF 네트워크의 패킷을 판독하고, 메모리(314), 캐시(324), 엔진(220), 및/또는 네트워크 인터페이스(222)로부터 데이터를 검색할 수 있다. 또한, 몇몇 실시예에서, TEE 모듈(404)은 퓨즈, 메모리(314), 데이터 저장 장치(316) 및/또는 서버(204, 206)의 다른 하드웨어 구성요소를 판독하여, 서버(204, 206)의 특정 정책(410)(예를 들어, 구성 또는 보안 정책)을 결정한다. 부가적으로, TEE 모듈(404)은 예를 들어, 패킷이 보안 위협을 취하는지 여부를 판정하기 위해 검색된 정보에 기초하여 서버(204, 206)의 하나 이상의 패킷의 보안 평가를 수행할 수 있다. 이와 같이 함으로써, TEE 모듈(404)은 보안 위협 데이터베이스(408)로부터 데이터를 검색하거나 또는 다르게는 검색된 보안 위협 평가를 보안 위협 데이터베이스(408)와 상관할 수 있다. 서버(204) 중 하나는 로컬 보안 위협 평가를 수행할 수 있고, 보안 서버(206)는 시스템 차원(또는 더 큰 서브시스템 차원) 보안 위협 평가를 수행할 수 있다는 것이 이해되어야 한다. 이와 같이, 이들 서버(204, 206)의 보안 위협 데이터베이스(408)는 대응 데이터를 포함할 수 있다. 몇몇 실시예에서, TEE 모듈(404)은 하나 이상의 패킷의 보안을 평가하는데 휴리스틱 코드(412)를 이용할 수 있다. 몇몇 실시예에서, 휴리스틱 코드(412)는 의심스러운 인스트럭션이 실행되어야 하는(예를 들어, VM 또는 보안 컨테이너 내에서) 파라미터 및/또는 콘텍스트를 식별한다. 부가적으로 또는 대안적으로, 휴리스틱 코드(412)는 악의적인 코드 서명, 화이트 리스트(white list), 블랙 리스트(black list)를 식별할 수 있고, 그리고/또는 다르게는 하나 이상의 패킷/인스트럭션의 보안을 평가하는데 있어 TEE 모듈에 의해 유용한 데이터를 포함할 수 있다.The trusted execution environment module 404 establishes a trusted execution environment (e.g., TEE 224) or other security environment in the server 204,206. As described above, the TEE 224 may establish a trusted relationship with the corresponding TEE 224 of the other server 204, 206. For example, by doing so, the TEE 224 can perform encryption key exchange. In some embodiments, the TEE 224 may communicate with each other via a set encrypted and / or other secure tunnel. As described above, in some embodiments, the TEE 224 may communicate with each other through an out-of-band communication channel (i.e., a communication channel separate from the common communication channel between the corresponding servers 204, 206). For example, one of the TEEs 224 of the servers 204 may establish a trusted relationship with the TEE 224 of the security server 206. The TEE 224 may also read packets from the VNFC-VNFC and VNF-VNF networks and send the packets from the memory 314, the cache 324, the engine 220, and / or the network interface 222 Data can be retrieved. Further, in some embodiments, the TEE module 404 reads the fuses, the memory 314, the data storage 316 and / or other hardware components of the servers 204, 206, (E. G., Configuration or security policy) of the < / RTI > Additionally, the TEE module 404 may perform a security assessment of one or more packets of the server 204,206 based on information retrieved, for example, to determine whether a packet takes a security threat. In this manner, the TEE module 404 may retrieve data from the security threat database 408 or otherwise correlate the retrieved security threat assessment with the security threat database 408. It should be appreciated that one of the servers 204 may perform a local security threat assessment and the security server 206 may perform a system level (or larger subsystem level) security threat assessment. As such, the security threat database 408 of these servers 204, 206 may include corresponding data. In some embodiments, TEE module 404 may use heuristic code 412 to evaluate the security of one or more packets. In some embodiments, heuristic code 412 identifies parameters and / or contexts in which suspicious instructions should be executed (e.g., in a VM or security container). Additionally or alternatively, the heuristic code 412 may identify a malicious code signature, a white list, a black list, and / or otherwise identify the security of one or more packets / And may include useful data by the TEE module in evaluating the TEE module.

통신 모듈(406)은 적합한 네트워크를 통해 서버(204, 206)와 원격 디바이스 사이의 통신을 핸들링한다. 예를 들어, 전술된 바와 같이, 서버(204, 206)의 TEE(224)는 대역외 통신 채널을 통해 또는 암호화된 터널을 거쳐 서로 통신할 수 있다.The communication module 406 handles communication between the server 204, 206 and the remote device over a suitable network. For example, as described above, the TEE 224 of the servers 204, 206 may communicate with each other via an out-of-band communication channel or through an encrypted tunnel.

이제, 도 5 및 도 6을 참조하면, 사용시에, 서버(204)는 보안 이상의 분산형 검출을 위한 방법(500)을 실행할 수 있다. 예시적인 방법(500)은 서버가 보안 서버(206)와 신뢰된 관계를 수립하는 블록 502에서 시작한다. 전술된 바와 같이, 몇몇 실시예에서, 보안 서버(206)는 시스템 차원 또는 서브시스템 차원 보안 분석을 수행하도록 선택되거나 "지명되어" 있는 TEE(224)를 포함하는 서버(204) 중 하나로서 구체화될 수 있다. 다른 실시예에서, 보안 서버(206)는 서버(204)로부터 분리된 서버로서 구체화될 수 있다. 신뢰된 관계를 수립하는데 있어서, 서버(204)는 블록 504에서 보안 서버(206)와 암호화키를 교환할 수 있고 그리고/또는 블록 506에서 신뢰의 루트 및/또는 퓨즈키를 사용할 수 있다는 것이 이해되어야 한다. 예를 들어, 서버(204) 및/또는 보안 서버(206)는 서버(204, 206), 또는 더 구체적으로는 서버(204, 206)의 하드웨어 구성요소(예를 들어, 보안 코프로세서(322))에 구속된(예를 들어, 암호학적으로) 암호화키 또는 식별을 포함할 수 있다.Referring now to Figures 5 and 6, in use, the server 204 may execute a method 500 for distributed detection over security. The exemplary method 500 begins at block 502 where the server establishes a trusted relationship with the security server 206. As described above, in some embodiments, the security server 206 may be implemented as one of the servers 204 including the TEE 224 that is selected or "named" to perform a system- . In another embodiment, security server 206 may be embodied as a server separate from server 204. [ In establishing a trusted relationship, it is to be understood that the server 204 may exchange the encryption key with the security server 206 at block 504 and / or use the root of trust and / or the fuse key at block 506 do. For example, the server 204 and / or the security server 206 may communicate with the hardware components (e.g., the secure coprocessor 322) of the servers 204 and 206, or more specifically, the servers 204 and 206, (E. G., Cryptographically) encrypted key or identification bounded by the encryption key.

블록 508에서, 서버(204)는 보안적으로 부팅한다. 이와 같이 함으로써, 서버(204)는 블록 510에서 그 구성 정책을 검색한다(예를 들어, 서버(204)의 보안 비휘발성 메모리로부터). 몇몇 실시예에서, 구성 정책은 실행 파라미터, 맥락적 정보, 및/또는 서버(204)의 동작과 연계된 다른 정보를 지시할 수 있다. 예를 들어, 몇몇 실시예에서, 구성 정책은 서버(204)의 다양한 하드웨어, 펌웨어, 및/또는 소프트웨어 구성요소에 관하여 TEE(224)에 통지하는데 이용될 수 있다.At block 508, the server 204 boots securely. By doing so, the server 204 retrieves its configuration policy (e.g., from the secure nonvolatile memory of the server 204) at block 510. In some embodiments, the configuration policy may dictate execution parameters, contextual information, and / or other information associated with the operation of server 204. For example, in some embodiments, the configuration policy may be used to notify the TEE 224 about various hardware, firmware, and / or software components of the server 204.

블록 512에서, 서버(204)는 보안 서버(206)와 신뢰된 터널을 설립한다. 이와 같이 함으로써, 서버(204)는 블록 514에서 그 존속성(aliveness)을 광고할 수 있다. 이와 같이 하기 위해, 서버(204)는 서버(204)가 동작하는 보안 서버(206)에 통보하기 위해 보안 서버(206)와 통신할 수 있다. 예를 들어, 서버(204)는 보안 서버(206)에 하트비트(heartbeat) 신호를 전송할 수 있다. 또한, 몇몇 실시예에서, 서버(204)는 그 존속성을 주기적으로 또는 연속적으로 광고할 수 있다. 부가적으로 또는 대안적으로, 서버(204)는 블록 516에서 보안 서버(206)에 그 보안 정책 및/또는 휴리스틱 코드(예를 들어, 패킷 데이터를 분석하기 위해 휴리스틱 보안 알고리즘을 적용하는데 사용을 위해)를 전송할 수 있다. 몇몇 실시예에서, 서버(204)는 전체 보안 정책을 전송할 수 있고, 반면에 다른 실시예에서, 보안 서버(206)는 다양한 서버(204)를 위한 보안 정책을 유지할 수 있어, 서버(204)가 전체 보안 정책보다는 보안 정책에 대한 최근의 업데이트를 단지 보안 서버(206)에 제공할 수 있게 된다. 또한, 몇몇 실시예에서, 보안 서버(204)는 보안을 평가하는데 사용을 위해 서버(204)에 휴리스틱 코드를 전송할 수 있다.At block 512, the server 204 establishes a trusted tunnel with the security server 206. By doing so, the server 204 can advertise its aliveness at block 514. To do so, the server 204 may communicate with the security server 206 to notify the security server 206 on which the server 204 operates. For example, the server 204 may send a heartbeat signal to the security server 206. Further, in some embodiments, the server 204 may advertise its survivability periodically or continuously. Additionally or alternatively, the server 204 may send the security policy and / or heuristic code (e.g., for use in applying a heuristic security algorithm to analyze the packet data) to the security server 206 at block 516 ). ≪ / RTI > In some embodiments, the server 204 may send the entire security policy, while in other embodiments, the security server 206 may maintain a security policy for the various servers 204, The latest update to the security policy can be provided only to the security server 206 rather than the entire security policy. Further, in some embodiments, the security server 204 may send a heuristic code to the server 204 for use in evaluating security.

블록 518에서, 서버(204)는 서버(204)의 실행시간 포스처(posture)(예를 들어, 맥락 및/또는 상태 정보)를 결정한다. 이와 같이 함으로써, 블록 420에서, 서버(204)는 서버(204)의 하나 이상의 VNF(202)의 실행시간 포스처를 결정할 수 있다. 예를 들어, 서버(204)는 VNF(202), VNFC(212), 및/또는 VM의 기능으로서 서버(204)의 현재 콘텍스트를 결정할 수 있다. 블록 422에서, 서버(204)는 하이퍼바이저(214)를 통해 VNFC-VNFC 및/또는 VNF-VNF 네트워크의 하나 이상의 패킷을 판독한다. 특히, 서버(204)는 가상 스위치(228) 및/또는 네트워크 인터페이스(222)를 통해 VNFC-VNFC 및/또는 VNF-VNF 네트워크의 하나 이상의 패킷을 판독할 수 있다. 블록 524에서, 서버(204)는 서버(204)의 메모리(314, 232) 및/또는 캐시(324)로부터 VNFC 및/또는 VNF 프로세스 실행 상태와 연계된 하나 이상의 패킷을 판독한다. 도 6의 블록 526에서, 서버(204)는 서버(204)의 마이크로코드(유코드) 및/또는 BIOS를 통해 서버 액세스를 인에이블링한다. 이와 같이 함으로써, 블록 528에서, 서버(204)는 서버(204)의 정책(예를 들어, 보안 정책)을 결정하기 위해 서버(204)의 퓨즈 및/또는 상태를 판독할 수 있다.At block 518, the server 204 determines an execution time posture (e.g., context and / or status information) of the server 204. In this manner, at block 420, the server 204 may determine an execution time position of one or more VNFs 202 of the server 204. [ For example, the server 204 may determine the current context of the server 204 as a function of the VNF 202, the VNFC 212, and / or the VM. At block 422, the server 204 reads one or more packets of the VNFC-VNFC and / or the VNF-VNF network via the hypervisor 214. In particular, the server 204 may read one or more packets of the VNFC-VNFC and / or the VNF-VNF network via the virtual switch 228 and / or the network interface 222. [ At block 524, the server 204 reads one or more packets associated with the VNFC and / or VNF process execution state from the memory 314, 232 and / or the cache 324 of the server 204. At block 526 of FIG. 6, server 204 enables server access via microcode (e. G., Code) of server 204 and / or BIOS. In this manner, at block 528, the server 204 may read the fuse and / or status of the server 204 to determine the policy (e.g., security policy) of the server 204.

블록 530에서, 서버(204)는 서버(204)의 로컬 위협 평가를 수행할 수 있다. 서버(204)는 서버(204)에서 검색된 또는 다른 방식으로 액세스가능한 정책, 휴리스틱 코드, 실행시간 포스처, 패킷, 및/또는 다른 정보를 이용할 수 있다는 것이 이해되어야 한다. 몇몇 실시예에서, 서버(204)는 보안 위협 평가를 수행하기 위한 하나 이상의 휴리스틱 알고리즘을 실행한다. 블록 534에서, 서버(204)는 보안 서버(206)에 보안 위협 평가 데이터를 보고한다. 이와 같이 함으로써, 서버(204)는 서버(204)에 의해 수집된 원시 데이터, 로컬 보안 평가 데이터, 및/또는 서버(204)에 의해 발생된 중간 데이터를 전송할 수 있다.At block 530, the server 204 may perform a local threat assessment of the server 204. It should be appreciated that the server 204 may utilize policies, heuristic codes, execution time postures, packets, and / or other information retrieved or otherwise accessible from the server 204. In some embodiments, the server 204 executes one or more heuristic algorithms to perform a security threat assessment. At block 534, the server 204 reports the security threat assessment data to the security server 206. By doing so, the server 204 can send the raw data collected by the server 204, the local security assessment data, and / or the intermediate data generated by the server 204.

특정 실시예에 따라, 서버(204)는 블록 536에서 보안 서버(206) 또는 리미디에이션 서버(208)로부터 네트워크 흐름/패킷을 위한 리미디에이션 동작 인스트럭션을 수신할 수 있다. 예를 들어, 본 명세서에 설명된 바와 같이, 보안 서버(206)는 임의의 특정 리미디에이션 동작이 서버(204)에 의해 수행되어야 하는지 여부를 판정하기 위해 리미디에이션 서버(208)로부터 시스템 차원 위협 분석 및/또는 요청 보조를 수행할 수 있다. 만일 없으면, 서버(204)는 몇몇 실시예에서 보안 서버(206)로부터 응답을 수신하지 않을 수 있다. 물론, 몇몇 실시예에서, 서버(204)는 보안 리미디에이션 동작을 수행해야 하는지 여부를 독립적으로 판정할 수 있다. 블록 538에서, 서버(204)는 네트워크 정책 및/또는 임의의 리미디에이션 동작을 시행한다. 몇몇 실시예에서, 서버(204)는 가상 스위치(228) 및/또는 네트워크 인터페이스(222)에 의해 이와 같이 행할 수 있다. 특정 리미디에이션 동작은 특정 보안 위협 및/또는 특정 실시예에 따라 다양할 수 있다. 예를 들어, 블록 540에서, 서버(204)는 리미디에이션 인스트럭션에 기초하여 하나 이상의 네트워크 패킷을 드롭할 수 있다. 블록 542에서, 서버(204)는 하나 이상의 네트워크 흐름을 모니터링할 수 있다. 예를 들어, 몇몇 실시예에서, 보안 서버(206) 또는 리미디에이션 서버(208)는 위협 분석에 기초하여 보안 위험을 취할 수 있는 특정 클래스의 네트워크 흐름을 모니터링하도록 서버(204)에 지시할 수 있다. 또한, 블록 544에서, 서버(204)는 리미디에이션 인스트럭션에 기초하여 하나 이상의 네트워크 패킷의 심도 패킷 검사를 수행할 수 있다. 물론, 서버(204)는 특정 실시예에 따라 광범위한 다른 리미디에이션 동작을 수행할 수 있다.In accordance with a particular embodiment, the server 204 may receive, at block 536, a resume operation instruction for the network flow / packet from the security server 206 or the remade server 208. For example, as described herein, the security server 206 may receive system-level information from the remediation server 208 to determine whether any particular resamming operations should be performed by the server 204. For example, Threat analysis and / or request assistance. If not, the server 204 may not receive a response from the security server 206 in some embodiments. Of course, in some embodiments, the server 204 may independently determine whether to perform a secure resuming operation. At block 538, the server 204 enforces network policy and / or any remediation operations. In some embodiments, the server 204 may do so by way of the virtual switch 228 and / or the network interface 222. [ Certain remediation actions may vary according to specific security threats and / or particular embodiments. For example, at block 540, the server 204 may drop one or more network packets based on the remediation instructions. At block 542, the server 204 may monitor one or more network flows. For example, in some embodiments, the security server 206 or the remediation server 208 may instruct the server 204 to monitor a particular class of network flows that may take a security risk based on the threat analysis have. In addition, at block 544, the server 204 may perform a depth packet inspection of one or more network packets based on the remediation instructions. Of course, the server 204 may perform a wide variety of other remediation operations in accordance with certain embodiments.

이제, 도 7을 참조하면, 사용시에, 보안 서버(206)는 보안 이상의 분산 검출 방법(700)을 실행할 수 있다. 예시된 방법(700)은 보안 서버(206)가 서버(204) 중 하나와 신뢰된 관계를 수립하는 도 7의 블록 702에서 시작한다. 전술된 바와 같이, 이와 같이 함으로써, 보안 서버(206)는 블록 704에서 서버(204)와 암호화키 교환을 수행할 수 있고 그리고/또는 블록 706에서 신뢰의 루트 및/또는 퓨즈키를 이용할 수 있다. 예를 들어, 쌍방 신뢰가 설정되는 실시예에서, 서버(204) 및 보안 서버(206)의 모두는 신뢰의 루트(예를 들어, 암호학적으로 구속된 키 또는 식별자)를 포함한다. 블록 710에서, 보안 서버(206)는 전술된 바와 같이 서버(204)와 신뢰된 터널을 설립한다. 이와 같이 함으로써, 보안 서버(206)는 블록 710에서 서버(204)로부터 보안 정책 업데이트 및/또는 휴리스틱 코드를 수신할 수 있다. 부가적으로 또는 대안적으로, 보안 서버(204)는 서버(204)에 휴리스틱 코드를 전송할 수 있다(예를 들어, 보안을 평가하는데 사용을 위해). 또한, 블록 712에서, 보안 서버(206)는 수신된 정보에 기초하여 서버(204)로부터 보안 위협 평가 데이터를 수신한다. 전술된 바와 같이, 서버(204)는 서버(204)에 의해 수집된 원시 데이터, 로컬 보안 평가 데이터, 및/또는 서버(204)에 의해 발생된 중간 데이터를 보안 서버(206)에 전송하여 보안 서버(206)가 시스템 차원 또는 서브시스템 차원 보안 평가를 수행하는 것을 가능하게 할 수도 있다.Referring now to FIG. 7, in use, the security server 206 may execute a variance detection method 700 over security. The illustrated method 700 begins at block 702 of FIG. 7 where the security server 206 establishes a trusted relationship with one of the servers 204. In this manner, as described above, the security server 206 may perform an encryption key exchange with the server 204 at block 704 and / or utilize a root and / or fuse key of trust at block 706. For example, in an embodiment where bilateral trust is established, both server 204 and security server 206 include a root of trust (e.g., a cryptographically constrained key or identifier). At block 710, the security server 206 establishes a trusted tunnel with the server 204 as described above. By doing so, the security server 206 may receive a security policy update and / or a heuristic code from the server 204 at block 710. Additionally or alternatively, the security server 204 may send a heuristic code to the server 204 (e.g., for use in evaluating security). Further, at block 712, the security server 206 receives the security threat assessment data from the server 204 based on the received information. As discussed above, the server 204 may send the raw data collected by the server 204, the local security assessment data, and / or the intermediate data generated by the server 204 to the security server 206, (206) to perform system-level or subsystem-level security evaluation.

블록 714에서, 보안 서버(206)는 분석된 패킷(들)이 서버(204)로의 보안 위협을 취하는지 여부를 판정하기 위해 보안 위협 데이터베이스(408)와 보안 위협 평가를 상관한다. 몇몇 실시예에서, 보안 서버(206)는 포스처, 보안 및 구성 정책, 콘텍스트, 휴리스틱 코드, 및/또는 서버(204)의 동작에 관한 다른 정보에 기초하여 패킷의 실행을 시뮬레이션할 수 있다(예를 들어, VM 내에서). 부가적으로 또는 대안적으로, 보안 서버(206)는 다양한 멀웨어(예를 들어, 바이러스) 서명, 화이트 리스트, 블랙 리스트, 및/또는 다른 데이터에 패킷을 비교하여 패킷이 보안되는지 여부를 판정할 수 있다.At block 714, the security server 206 correlates the security threat assessment with the security threat database 408 to determine whether the analyzed packet (s) takes a security threat to the server 204. [ In some embodiments, the security server 206 may simulate the execution of a packet based on posture, security and configuration policies, context, heuristic code, and / or other information regarding the operation of the server 204 For example, within the VM). Additionally or alternatively, the security server 206 may compare packets to various malware (e.g., viruses) signatures, whitelists, blacklists, and / or other data to determine whether the packet is secure have.

블록 716에서, 보안 서버(206)는 보안 위협이 식별되어 있는지 여부를 판정한다. 만일 그러하면, 보안 서버(206)는 블록 718에서 리미디에이션 동작을 결정한다. 이와 같이 하기 위해, 블록 720에서, 보안 서버(206)는 리미디에이션 서버(208)로부터 리미디에이션 결정을 요청할 수 있다. 이러한 실시예에서, 리미디에이션 서버(208)는 시스템 차원(예를 들어, 클라우드 기반) 보안 평가를 수행할 수 있고 그리고/또는 보안 위협과 연계된 손상을 리미디에이션하거나 최소화하기 위해 서버(204)에 의해 수행될 리미디에이션 동작을 다른 방식으로 결정할 수 있다. 전술된 바와 같이, 몇몇 실시예에서, 리미디에이션 서버(208)는 이러한 결정을 행하기 위해 클라우드 컴퓨팅 환경(234) 내에서 오케스트레이터(210)와 협동할 수 있다. 리미디에이션 서버(208)가 참고되면, 블록 722에서, 보안 서버(206)는 리미디에이션 서버(208)로부터 대응 리미디에이션 인스트럭션을 수신할 수 있다. 다른 실시예에서, 리미디에이션 서버(208)는 서버(204)에 직접 인스트럭션을 전송할 수 있다. 물론, 몇몇 실시예에서, 보안 서버(206)는 그 자신이 리미디에이션 분석으로 수행할 수 있다. 블록 724에서, 보안 서버(206)는 리미디에이션 인스트럭션을 서버(204)에 전송할 수 있다.At block 716, the security server 206 determines whether a security threat is identified. If so, the security server 206 determines a remediation operation at block 718. [ To do this, at block 720, the security server 206 may request a resolution determination from the remediation server 208. In this embodiment, the remediation server 208 may perform a system-level (e.g., cloud-based) security assessment and / or may be configured to remotely or remediate the corruption- ) May be determined in a different manner. As described above, in some embodiments, the remediation server 208 may cooperate with the orchestrator 210 within the cloud computing environment 234 to make this determination. If the remediation server 208 is consulted, then at block 722, the security server 206 may receive the corresponding remediation instructions from the remediation server 208. In another embodiment, remediation server 208 may send instructions to server 204 directly. Of course, in some embodiments, the security server 206 may perform itself by resolution analysis. At block 724, the security server 206 may send the remediation instructions to the server 204.

Yes

본 명세서에 개시된 기술의 예시적인 예가 이하에 제공된다. 기술의 실시예는 후술되는 예 중 임의의 하나 이상, 및 임의의 조합을 포함할 수 있다.Exemplary examples of the techniques disclosed herein are provided below. Embodiments of the technology may include any one or more of the examples described below, and any combination thereof.

예 1은 보안 이상의 분산형 검출을 위한 컴퓨팅 디바이스를 포함하고, 컴퓨팅 디바이스는 (i) 보안 서버와 신뢰된 관계를 수립하고, (ii) 신뢰된 관계의 수립에 응답하여 인터-가상 네트워크 기능 네트워크 또는 인터-가상 네트워크 기능 컴포넌트 네트워크 중 적어도 하나의 하나 이상의 패킷을 판독하고, (iii) 하나 이상의 패킷의 보안 위협 평가를 수행하기 위한 신뢰된 실행 환경 모듈; 및 보안 위협 평가를 보안 서버에 전송하기 위한 통신 모듈을 포함한다.Example 1 includes a computing device for distributed detection over security, wherein the computing device is configured to (i) establish a trusted relationship with a security server, and (ii) in response to establishing a trusted relationship, A trusted execution environment module for reading one or more packets of at least one of the inter-virtual network functional component networks, (iii) performing a security threat assessment of one or more packets; And a communication module for transmitting the security threat evaluation to the security server.

예 2는 예 1의 요지를 포함하고, 여기서 신뢰된 관계를 수립하는 것은 보안 서버의 대응하는 신뢰된 실행 환경 모듈과 신뢰된 관계를 수립하는 것을 포함한다.Example 2 includes the gist of Example 1, wherein establishing a trusted relationship includes establishing a trusted relationship with a corresponding trusted execution environment module of the security server.

예 3은 예 1 및 2 중 어느 하나의 요지를 포함하고, 여기서 보안 위협 평가를 전송하는 것은 컴퓨팅 디바이스의 신뢰된 실행 환경 모듈과 보안 서버의 대응하는 신뢰된 실행 환경 모듈 사이에 수립된 대역외 통신 채널을 통해 보안 서버의 대응하는 신뢰된 실행 환경 모듈에 보안 위협 평가를 전송하는 것을 포함한다.Example 3 includes the gist of any one of Examples 1 and 2 wherein sending a security threat assessment comprises sending an out-of-band communication established between a trusted execution environment module of a computing device and a corresponding trusted execution environment module of a security server And sending the security threat assessment to the corresponding trusted execution environment module of the security server over the channel.

예 4는 예 1 내지 3 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 관계를 수립하는 것은 보안 서버와 암호화키를 교환하는 것을 포함한다.Example 4 includes the subject matter of any of Examples 1 to 3, wherein establishing a trusted relationship comprises exchanging an encryption key with a security server.

예 5는 예 1 내지 4 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 관계를 수립하는 것은 컴퓨팅 디바이스의 신뢰의 루트 또는 퓨즈키 중 적어도 하나를 이용하는 것을 포함한다.Example 5 includes the subject matter of any one of Examples 1-4, wherein establishing a trusted relationship comprises using at least one of a trusted root of the computing device or a fuse key.

예 6은 예 1 내지 5 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 실행 환경 모듈은 또한 신뢰된 관계에 기초하여 보안 서버와 신뢰된 터널을 설립한다.Example 6 includes the subject matter of any of Examples 1-5 wherein the trusted execution environment module also establishes a trusted tunnel with the security server based on the trusted relationship.

예 7은 예 1 내지 6 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하는 것은 컴퓨팅 디바이스의 보안 정책을 보안 서버에 전송하는 것을 추가로 포함한다.Example 7 includes the subject matter of any of Examples 1 to 6, wherein establishing a trusted tunnel further comprises transmitting a security policy of the computing device to the security server.

예 8은 예 1 내지 7 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하는 것은 컴퓨팅 디바이스의 휴리스틱 코드를 보안 서버에 전송하는 것을 추가로 포함한다.Example 8 includes the subject matter of any of Examples 1 to 7, wherein establishing a trusted tunnel further comprises transmitting a heuristic code of the computing device to the security server.

예 9는 예 1 내지 8 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하는 것은 보안 서버로부터 휴리스틱 코드를 수신하는 것을 추가로 포함한다.Example 9 includes the subject matter of any of Examples 1 to 8, wherein establishing a trusted tunnel further comprises receiving a heuristic code from a security server.

예 10은 예 1 내지 9 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 실행 환경 모듈은 또한 신뢰된 관계의 수립에 응답하여 컴퓨팅 디바이스를 부팅한다.Example 10 includes the subject matter of any of Examples 1 to 9, wherein the trusted execution environment module also boots the computing device in response to establishing a trusted relationship.

예 11은 예 1 내지 10 중 어느 하나의 요지를 포함하고, 여기서 컴퓨팅 디바이스를 부팅하는 것은 컴퓨팅 디바이스의 구성 정책을 검색하는 것을 포함한다.Example 11 includes the subject matter of any of Examples 1 to 10, wherein booting a computing device includes retrieving a configuration policy of the computing device.

예 12는 예 1 내지 11 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 실행 환경 모듈은 또한 컴퓨팅 디바이스의 실행시간 포스처를 결정하기 위한 것이고; 보안 위협 평가를 수행하는 것은 실행시간 포스처에 기초하여 하나 이상의 패킷의 보안 위협 평가를 수행하는 것을 포함한다.Example 12 includes the subject matter of any one of Examples 1 to 11, wherein the trusted execution environment module is further for determining an execution time contribution of the computing device; Performing a security threat assessment includes performing a security threat assessment of one or more packets based on an execution time posture.

예 13은 예 1 내지 12 중 어느 하나의 요지를 포함하고, 여기서 컴퓨팅 디바이스의 실행시간 포스처를 결정하는 것은 컴퓨팅 디바이스의 가상 네트워크 기능의 실행시간 포스처를 결정하는 것을 포함한다.Example 13 includes the subject matter of any one of Examples 1 to 12, wherein determining an execution time position of a computing device includes determining an execution time contribution of a virtual network function of the computing device.

예 14는 예 1 내지 13 중 어느 하나의 요지를 포함하고, 여기서 통신 모듈은 또한 보안 서버로부터 하나 이상의 패킷을 위한 리미디에이션 동작 인스트럭션을 수신한다.Example 14 includes the subject matter of any one of Examples 1 to 13, wherein the communication module also receives a resume operation instruction for one or more packets from a security server.

예 15는 예 1 내지 14 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 실행 환경 모듈은 또한 리미디에이션 동작 인스트럭션과 대응하는 리미디에이션 동작을 시행한다.Example 15 includes the subject matter of any one of Examples 1 to 14, wherein the trusted execution environment module also implements a corresponding remediation operation with the remediation operation instruction.

예 16은 컴퓨팅 디바이스에 의해 보안 이상의 분산형 검출을 위한 방법을 포함하고, 방법은, 컴퓨팅 디바이스에 의해, 보안 서버와 신뢰된 관계를 수립하는 단계; 컴퓨팅 디바이스에 의해, 신뢰된 관계의 수립에 응답하여 인터-가상 네트워크 기능 네트워크 또는 인터-가상 네트워크 기능 컴포넌트 네트워크 중 적어도 하나의 하나 이상의 패킷을 판독하는 단계; 컴퓨팅 디바이스에 의해, 하나 이상의 패킷의 보안 위협 평가를 수행하는 단계; 및 컴퓨팅 디바이스에 의해, 보안 위협 평가를 보안 서버에 전송하는 단계를 포함한다.Example 16 includes a method for distributed detection over security by a computing device, the method comprising: establishing, by a computing device, a trusted relationship with a security server; Reading, by the computing device, one or more packets of at least one of an inter-virtual network functional network or an inter-virtual network functional component network in response to establishing a trusted relationship; Performing, by the computing device, a security threat assessment of one or more packets; And transmitting, by the computing device, the security threat assessment to the security server.

예 17은 예 16의 요지를 포함하고, 여기서 신뢰된 관계를 수립하는 단계는 보안 서버의 대응하는 신뢰된 실행 환경 모듈과 신뢰된 관계를 수립하는 단계를 포함한다.Example 17 includes the gist of Example 16 wherein establishing a trusted relationship comprises establishing a trusted relationship with a corresponding trusted execution environment module of the security server.

예 18은 예 16 및 17 중 어느 하나의 요지를 포함하고, 여기서 보안 위협 평가를 전송하는 단계는 컴퓨팅 디바이스의 신뢰된 실행 환경 모듈과 보안 서버의 대응하는 신뢰된 실행 환경 모듈 사이에 수립된 대역외 통신 채널을 통해 보안 서버의 대응하는 신뢰된 실행 환경 모듈에 보안 위협 평가를 전송하는 단계를 포함한다.Example 18 includes the subject matter of any one of Examples 16 and 17 wherein the step of transmitting a security threat assessment comprises the steps of: sending a security threat assessment to a trusted device, And transmitting the security threat assessment to a corresponding trusted execution environment module of the security server via the communication channel.

예 19는 예 16 내지 18 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 관계를 수립하는 단계는 보안 서버와 암호화키를 교환하는 단계를 포함한다.Example 19 includes the subject matter of any one of Examples 16-18, wherein establishing a trusted relationship comprises exchanging an encryption key with a security server.

예 20은 예 16 내지 19 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 관계를 수립하는 단계는 컴퓨팅 디바이스의 신뢰의 루트 또는 퓨즈키 중 적어도 하나를 이용하는 단계를 포함한다.Example 20 includes the subject matter of any one of Examples 16-19, wherein establishing a trusted relationship comprises utilizing at least one of a trusted root or a fuse key of a computing device.

예 21은 예 16 내지 20 중 어느 하나의 요지를 포함하고, 컴퓨팅 디바이스에 의해, 신뢰된 관계에 기초하여 보안 서버와 신뢰된 터널을 설립하는 단계를 추가로 포함한다.Example 21 further includes the step of establishing a trusted tunnel with the security server based on the trusted relationship, by the computing device, comprising the subject matter of any one of Examples 16-20.

예 22는 예 16 내지 21 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하는 단계는 컴퓨팅 디바이스의 보안 정책을 보안 서버에 전송하는 단계를 포함한다.Example 22 includes the subject matter of any one of Examples 16-21, wherein establishing a trusted tunnel comprises transmitting a security policy of the computing device to a security server.

예 23은 예 16 내지 22 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하는 단계는 컴퓨팅 디바이스의 휴리스틱 코드를 보안 서버에 전송하는 단계를 포함한다.Example 23 includes the subject matter of any one of Examples 16-22, wherein establishing a trusted tunnel comprises transmitting a heuristic code of a computing device to a security server.

예 24는 예 16 내지 23 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하는 단계는 보안 서버로부터 휴리스틱 코드를 수신하는 단계를 포함한다.Example 24 includes the subject matter of any one of Examples 16-23, wherein establishing a trusted tunnel comprises receiving a heuristic code from a security server.

예 25는 예 16 내지 24 중 어느 하나의 요지를 포함하고, 신뢰된 관계의 수립에 응답하여 컴퓨팅 디바이스를 부팅하는 단계를 추가로 포함한다.Example 25 includes the subject matter of any one of Examples 16-24, further comprising booting the computing device in response to establishment of a trusted relationship.

예 26은 예 16 내지 25 중 어느 하나의 요지를 포함하고, 여기서 컴퓨팅 디바이스를 부팅하는 단계는 컴퓨팅 디바이스의 구성 정책을 검색하는 단계를 포함한다.Example 26 includes the subject matter of any one of Examples 16-25, wherein booting a computing device includes retrieving a configuration policy of the computing device.

예 27은 예 16 내지 26 중 어느 하나의 요지를 포함하고, 컴퓨팅 디바이스에 의해, 컴퓨팅 디바이스의 실행시간 포스처를 결정하는 단계를 추가로 포함하고; 보안 위협 평가를 수행하는 단계는 실행시간 포스처에 기초하여 하나 이상의 패킷의 보안 위협 평가를 수행하는 단계를 포함한다.Example 27 includes the subject matter of any one of Examples 16-26 further comprising, by the computing device, determining an execution time position of the computing device; Performing a security threat assessment includes performing a security threat assessment of one or more packets based on an execution time posture.

예 28은 예 16 내지 27 중 어느 하나의 요지를 포함하고, 여기서 컴퓨팅 디바이스의 실행시간 포스처를 결정하는 단계는 컴퓨팅 디바이스의 가상 네트워크 기능의 실행시간 포스처를 결정하는 단계를 포함한다.Example 28 includes the subject matter of any one of Examples 16-27, wherein determining an execution time position of a computing device includes determining an execution time position of a virtual network function of the computing device.

예 29는 예 16 내지 28 중 어느 하나의 요지를 포함하고, 컴퓨팅 디바이스에 의해, 보안 서버로부터 하나 이상의 패킷을 위한 리미디에이션 동작 인스트럭션을 수신하는 단계를 추가로 포함한다.Example 29 includes the subject matter of any one of Examples 16-28, further comprising, by a computing device, receiving a remediation action instruction for one or more packets from a security server.

예 30은 예 16 내지 29 중 어느 하나의 요지를 포함하고, 컴퓨팅 디바이스에 의해, 리미디에이션 동작 인스트럭션과 대응하는 리미디에이션 동작을 시행하는 단계를 추가로 포함한다.Example 30 includes the subject matter of any one of Examples 16-29, further comprising, by a computing device, implementing a remediation operation corresponding to the remediation operation instruction.

예 31은 프로세서; 및 프로세서에 의해 실행될 때 컴퓨팅 디바이스가 예 16 내지 30 중 어느 하나의 방법을 수행하게 하는 복수의 인스트럭션이 그 내에 저장되어 있는 메모리를 포함하는 컴퓨팅 디바이스를 포함한다.Example 31 includes a processor; And a computing device that, when executed by the processor, includes a memory in which a plurality of instructions for causing a computing device to perform the method of any one of claims 16 to 30 are stored.

예 32는 컴퓨팅 디바이스에 의한 실행에 응답하여, 컴퓨팅 디바이스가 예 16 내지 30 중 어느 하나의 방법을 수행하게 하는 그 위에 저장되어 있는 복수의 인스트럭션을 포함하는 하나 이상의 기계 판독가능 저장 매체를 포함한다.Example 32 includes one or more machine-readable storage media including a plurality of instructions stored thereon, in response to execution by a computing device, such that a computing device performs any of the methods of Examples 16-30.

예 33은 보안 이상의 분산형 검출을 위한 컴퓨팅 디바이스를 포함하고, 컴퓨팅 디바이스는 보안 서버와 신뢰된 관계를 수립하기 위한 수단; 신뢰된 관계의 수립에 응답하여 인터-가상 네트워크 기능 네트워크 또는 인터-가상 네트워크 기능 컴포넌트 네트워크 중 적어도 하나의 하나 이상의 패킷을 판독하기 위한 수단; 하나 이상의 패킷의 보안 위협 평가를 수행하기 위한 수단; 및 보안 위협 평가를 보안 서버에 전송하기 위한 수단을 포함한다.Example 33 includes a computing device for distributed detection over security, the computing device comprising: means for establishing a trusted relationship with the security server; Means for reading one or more packets of at least one of an inter-virtual network functional network or an inter-virtual network functional component network in response to establishing a trusted relationship; Means for performing a security threat assessment of one or more packets; And means for sending a security threat assessment to the security server.

예 34는 예 33의 요지를 포함하고, 여기서 신뢰된 관계를 수립하기 위한 수단은 보안 서버의 대응하는 신뢰된 실행 환경 모듈과 신뢰된 관계를 수립하기 위한 수단을 포함한다.Example 34 includes the gist of Example 33 wherein the means for establishing a trusted relationship comprises means for establishing a trusted relationship with a corresponding trusted execution environment module of the security server.

예 35는 예 33 및 34 중 어느 하나의 요지를 포함하고, 여기서 보안 위협 평가를 전송하기 위한 수단은 컴퓨팅 디바이스의 신뢰된 실행 환경 모듈과 보안 서버의 대응하는 신뢰된 실행 환경 모듈 사이에 수립된 대역외 통신 채널을 통해 보안 서버의 대응하는 신뢰된 실행 환경 모듈에 보안 위협 평가를 전송하기 위한 수단을 포함한다.Example 35 includes the subject matter of any one of Examples 33 and 34 wherein the means for transmitting the security threat assessment comprises means for transmitting the security threat assessment to the established band between the trusted execution environment module of the computing device and the corresponding trusted execution environment module of the security server And means for sending a security threat assessment to a corresponding trusted execution environment module of the security server over an external communication channel.

예 36은 예 33 내지 35 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 관계를 수립하기 위한 수단은 보안 서버와 암호화키를 교환하기 위한 수단을 포함한다.Example 36 comprises the subject matter of any of Examples 33 to 35, wherein the means for establishing a trusted relationship comprises means for exchanging encryption keys with a security server.

예 37은 예 33 내지 36 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 관계를 수립하기 위한 수단은 컴퓨팅 디바이스의 신뢰의 루트 또는 퓨즈키 중 적어도 하나를 이용하기 위한 수단을 포함한다.Example 37 comprises the subject matter of any of Examples 33 to 36, wherein the means for establishing a trusted relationship comprises means for utilizing at least one of a root of trust or a fuse key of a computing device.

예 38은 예 33 내지 37 중 어느 하나의 요지를 포함하고, 신뢰된 관계에 기초하여 보안 서버와 신뢰된 터널을 설립하기 위한 수단을 추가로 포함한다.Example 38 includes the subject matter of any of Examples 33 to 37 further comprising means for establishing a trusted tunnel with the security server based on the trusted relationship.

예 39는 예 33 내지 38 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하기 위한 수단은 컴퓨팅 디바이스의 보안 정책을 보안 서버에 전송하기 위한 수단을 포함한다.Example 39 comprises the subject matter of any of Examples 33 to 38, wherein the means for establishing a trusted tunnel comprises means for transmitting a security policy of a computing device to a security server.

예 40은 예 33 내지 39 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하기 위한 수단은 컴퓨팅 디바이스의 휴리스틱 코드를 보안 서버에 전송하기 위한 수단을 포함한다.Example 40 comprises the subject matter of any of Examples 33 to 39, wherein the means for establishing a trusted tunnel comprises means for transmitting a heuristic code of a computing device to a security server.

예 41은 예 33 내지 40 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하기 위한 수단은 보안 서버로부터 휴리스틱 코드를 수신하기 위한 수단을 포함한다.Example 41 comprises the subject matter of any of Examples 33 to 40, wherein the means for establishing a trusted tunnel comprises means for receiving a heuristic code from a security server.

예 42는 예 33 내지 41 중 어느 하나의 요지를 포함하고, 신뢰된 관계의 수립에 응답하여 컴퓨팅 디바이스를 부팅하기 위한 수단을 추가로 포함한다.Example 42 includes the subject matter of any of Examples 33-41, further comprising means for booting a computing device in response to establishing a trusted relationship.

예 43은 예 33 내지 42 중 어느 하나의 요지를 포함하고, 여기서 컴퓨팅 디바이스를 부팅하기 위한 수단은 컴퓨팅 디바이스의 구성 정책을 검색하기 위한 수단을 포함한다.Example 43 comprises the subject matter of any of Examples 33 to 42, wherein the means for booting a computing device comprises means for retrieving a configuration policy of the computing device.

예 44는 예 33 내지 43 중 어느 하나의 요지를 포함하고, 컴퓨팅 디바이스의 실행시간 포스처를 결정하기 위한 수단을 추가로 포함하고; 보안 위협 평가를 수행하기 위한 수단은 실행시간 포스처에 기초하여 하나 이상의 패킷의 보안 위협 평가를 수행하기 위한 수단을 포함한다.Example 44 includes the subject matter of any of Examples 33 to 43, further comprising: means for determining an execution time position of a computing device; The means for performing a security threat assessment comprises means for performing a security threat assessment of one or more packets based on an execution time posture.

예 45는 예 33 내지 44 중 어느 하나의 요지를 포함하고, 여기서 컴퓨팅 디바이스의 실행시간 포스처를 결정하기 위한 수단은 컴퓨팅 디바이스의 가상 네트워크 기능의 실행시간 포스처를 결정하기 위한 수단을 포함한다.Example 45 includes the subject matter of any of Examples 33 to 44, wherein the means for determining an execution time position of a computing device includes means for determining an execution time position of a virtual network function of the computing device.

예 46은 예 33 내지 45 중 어느 하나의 요지를 포함하고, 보안 서버로부터 하나 이상의 패킷을 위한 리미디에이션 동작 인스트럭션을 수신하기 위한 수단을 추가로 포함한다.Example 46 includes the subject matter of any of Examples 33 to 45 further comprising means for receiving remediation operation instructions for one or more packets from a security server.

예 47은 예 33 내지 46 중 어느 하나의 요지를 포함하고, 리미디에이션 동작 인스트럭션과 대응하는 리미디에이션 동작을 시행하기 위한 수단을 추가로 포함한다.Example 47 includes the subject matter of any of Examples 33 to 46 and further comprises means for implementing a remediation operation corresponding to the remediation operation instruction.

예 48은 보안 이상의 분산형 검출을 위한 보안 서버를 포함하고, 보안 서버는 컴퓨팅 디바이스와 신뢰된 관계를 수립하기 위한 신뢰된 실행 환경 모듈; 및 컴퓨팅 디바이스의 인터-가상 네트워크 기능 네트워크 또는 인터-가상 네트워크 기능 컴포넌트 네트워크 중 적어도 하나의 하나 이상의 패킷의 보안 위협 평가를 컴퓨팅 디바이스로부터 수신하기 위한 통신 모듈을 포함하고, 신뢰된 실행 환경 모듈은 또한 하나 이상의 패킷이 보안 위협을 취하는지 여부를 판정하기 위해 보안 서버의 보안 위협 데이터베이스와 보안 위협 평가를 상관한다.Example 48 includes a security server for distributed detection over security, the security server includes a trusted execution environment module for establishing a trusted relationship with the computing device; And a communication module for receiving a security threat assessment of the at least one packet of the inter-virtual network functional network or the inter-virtual network functional component network of the computing device from the computing device, wherein the trusted execution environment module also includes one Correlates the security threat assessment with the security threat database of the security server to determine whether or not the packet takes a security threat.

예 49는 예 48의 요지를 포함하고, 여기서 신뢰된 관계를 수립하는 것은 컴퓨팅 디바이스의 대응하는 신뢰된 실행 환경 모듈과 신뢰된 관계를 수립하는 것을 포함한다.Example 49 includes the gist of Example 48, wherein establishing a trusted relationship includes establishing a trusted relationship with a corresponding trusted execution environment module of the computing device.

예 50은 예 48 및 49 중 어느 하나의 요지를 포함하고, 여기서 보안 위협 평가를 수신하는 것은 보안 서버의 신뢰된 실행 환경 모듈과 컴퓨팅 디바이스의 대응하는 신뢰된 실행 환경 모듈 사이에 수립된 대역외 통신 채널을 통해 컴퓨팅 디바이스의 대응하는 신뢰된 실행 환경 모듈로부터 보안 위협 평가를 수신하는 것을 포함한다.Example 50 includes the subject matter of any one of Examples 48 and 49 wherein receiving the security threat assessment includes establishing an out-of-band communication established between the trusted execution environment module of the security server and the corresponding trusted execution environment module of the computing device And receiving a security threat assessment from a corresponding trusted execution environment module of the computing device via the channel.

예 51은 예 48 내지 50 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 관계를 수립하는 것은 컴퓨팅 디바이스와 암호화키를 교환하는 것을 포함한다.Example 51 includes the subject matter of any of Examples 48 to 50, wherein establishing a trusted relationship comprises exchanging an encryption key with a computing device.

예 52는 예 48 내지 51 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 실행 환경 모듈은 또한 신뢰된 관계에 기초하여 컴퓨팅 디바이스와 신뢰된 터널을 설립한다.Example 52 includes the subject matter of any of Examples 48-51, wherein the trusted execution environment module also establishes a trusted tunnel with the computing device based on the trusted relationship.

예 53은 예 48 내지 52 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하는 것은 컴퓨팅 디바이스로부터 컴퓨팅 디바이스의 보안 정책을 수신하는 것을 추가로 포함한다.Example 53 includes the subject matter of any of Examples 48-52, wherein establishing a trusted tunnel further comprises receiving a computing device's security policy from the computing device.

예 54는 예 48 내지 53 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하는 것은 컴퓨팅 디바이스로부터 컴퓨팅 디바이스의 휴리스틱 코드를 수신하는 것을 추가로 포함한다.Example 54 includes the subject matter of any of Examples 48-53, wherein establishing a trusted tunnel further comprises receiving a heuristic code of a computing device from the computing device.

예 55는 예 48 내지 54 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하는 것은 컴퓨팅 디바이스에 휴리스틱 코드를 전송하는 것을 추가로 포함한다.Example 55 includes the subject matter of any of Examples 48-54, wherein establishing a trusted tunnel further comprises transmitting a heuristic code to the computing device.

예 56은 예 48 내지 55 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 실행 환경 모듈은 또한 보안 위협 데이터베이스와 보안 위협 평가의 상관에 기초하여 보안 위협의 식별에 응답하여 리미디에이션 동작을 결정한다.Example 56 includes the subject matter of any of Examples 48 to 55, wherein the trusted execution environment module also determines a remediation action in response to identifying a security threat based on a correlation of the security threat database and the security threat assessment .

예 57은 예 48 내지 56 중 어느 하나의 요지를 포함하고, 여기서 리미디에이션 동작을 결정하는 것은 리미디에이션 서버로부터 리미디에이션 결정을 요청하는 것; 및 리미디에이션 서버로부터 리미디에이션 결정과 연계된 리미디에이션 인스트럭션을 수신하는 것을 포함한다.Example 57 includes the subject matter of any of Examples 48-56, wherein determining the resolution operation comprises requesting a resolution determination from the resolution server; And receiving remediation instructions associated with the remediation decision from the remediation server.

예 58은 예 48 내지 57 중 어느 하나의 요지를 포함하고, 여기서 통신 모듈은 또한 리미디에이션 인스트럭션을 컴퓨팅 디바이스에 전송한다.Example 58 includes the subject matter of any of Examples 48-57, wherein the communication module also transmits the remediation instructions to the computing device.

예 59는 보안 서버에 의해 보안 이상의 분산형 검출을 위한 방법을 포함하고, 방법은 보안 서버에 의해, 컴퓨팅 디바이스와 신뢰된 관계를 수립하는 단계; 보안 서버에 의해 그리고 컴퓨팅 디바이스로부터, 컴퓨팅 디바이스의 인터-가상 네트워크 기능 네트워크 또는 인터-가상 네트워크 기능 컴포넌트 네트워크 중 적어도 하나의 하나 이상의 패킷의 보안 위협 평가를 수신하는 단계; 및 보안 서버에 의해, 하나 이상의 패킷이 보안 위협을 취하는지 여부를 판정하기 위해 보안 서버의 보안 위협 데이터베이스와 보안 위협 평가를 상관하는 단계를 포함한다.Example 59 includes a method for distributed detection over security by a security server, the method comprising: establishing a trusted relationship with a computing device by a security server; Receiving, by the security server and from the computing device, a security threat assessment of at least one packet of the inter-virtual network functional network or the inter-virtual network functional component network of the computing device; And correlating the security threat assessment with the security threat database of the security server to determine, by the security server, whether the one or more packets take a security threat.

예 60은 예 59의 요지를 포함하고, 여기서 신뢰된 관계를 수립하는 단계는 컴퓨팅 디바이스의 대응하는 신뢰된 실행 환경 모듈과 신뢰된 관계를 수립하는 단계를 포함한다.Example 60 includes the gist of Example 59, wherein establishing a trusted relationship comprises establishing a trusted relationship with a corresponding trusted execution environment module of the computing device.

예 61은 예 59 및 60 중 어느 하나의 요지를 포함하고, 여기서 보안 위협 평가를 수신하는 단계는 보안 서버의 신뢰된 실행 환경 모듈과 컴퓨팅 디바이스의 대응하는 신뢰된 실행 환경 모듈 사이에 수립된 대역외 통신 채널을 통해 컴퓨팅 디바이스의 대응하는 신뢰된 실행 환경 모듈로부터 보안 위협 평가를 수신하는 단계를 포함한다.Example 61 includes the subject matter of any one of Examples 59 and 60 wherein the step of receiving a security threat assessment comprises the steps of: And receiving a security threat assessment from a corresponding trusted execution environment module of the computing device via the communication channel.

예 62는 예 59 내지 61 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 관계를 수립하는 단계는 컴퓨팅 디바이스와 암호화키를 교환하는 단계를 포함한다.Example 62 includes the subject matter of any of Examples 59 to 61, wherein establishing a trusted relationship comprises exchanging an encryption key with a computing device.

예 63은 예 59 내지 62 중 어느 하나의 요지를 포함하고, 보안 서버에 의해, 신뢰된 관계에 기초하여 컴퓨팅 디바이스와 신뢰된 터널을 설립하는 단계를 추가로 포함한다.Example 63 includes the subject matter of any one of Examples 59 to 62 and further comprises, by the security server, establishing a trusted tunnel with the computing device based on the trusted relationship.

예 64는 예 59 내지 63 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하는 단계는 컴퓨팅 디바이스로부터 컴퓨팅 디바이스의 보안 정책을 수신하는 단계를 추가로 포함한다.Example 64 includes the subject matter of any of Examples 59 to 63, wherein establishing a trusted tunnel further comprises receiving a security policy of the computing device from the computing device.

예 65는 예 59 내지 64 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하는 단계는 컴퓨팅 디바이스로부터 컴퓨팅 디바이스의 휴리스틱 코드를 수신하는 단계를 추가로 포함한다.Example 65 includes the subject matter of any of Examples 59 to 64, wherein establishing a trusted tunnel further comprises receiving a heuristic code of a computing device from the computing device.

예 66은 예 59 내지 65 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하는 단계는 컴퓨팅 디바이스에 휴리스틱 코드를 전송하는 단계를 추가로 포함한다.Example 66 includes the subject matter of any of Examples 59 to 65, wherein establishing a trusted tunnel further comprises transmitting a heuristic code to the computing device.

예 67은 예 59 내지 66 중 어느 하나의 요지를 포함하고, 보안 서버에 의해, 보안 위협 데이터베이스와 보안 위협 평가의 상관에 기초하여 보안 위협의 식별에 응답하여 리미디에이션 동작을 결정하는 단계를 추가로 포함한다.Example 67 includes the subject matter of any one of Examples 59 to 66, and further comprising, by the security server, determining a resolution operation in response to identification of a security threat based on a correlation between the security threat database and the security threat evaluation .

예 68은 예 59 내지 67 중 어느 하나의 요지를 포함하고, 여기서 리미디에이션 동작을 결정하는 단계는 리미디에이션 서버로부터 리미디에이션 결정을 요청하는 단계; 및 리미디에이션 서버로부터 리미디에이션 결정과 연계된 리미디에이션 인스트럭션을 수신하는 단계를 포함한다.Example 68 includes the subject matter of any of Examples 59 to 67, wherein determining the resolution operation comprises: requesting a resolution determination from a resolution server; And receiving remediation instructions from the remediation server associated with the remediation decision.

예 69는 예 59 내지 68 중 어느 하나의 요지를 포함하고, 보안 서버에 의해, 리미디에이션 인스트럭션을 컴퓨팅 디바이스에 전송하는 단계를 추가로 포함한다.Example 69 includes the subject matter of any of Examples 59 to 68, further comprising, by the security server, transmitting the remediation instructions to the computing device.

예 70은 프로세서; 및 프로세서에 의해 실행될 때 보안 서버가 예 59 내지 69 중 어느 하나의 방법을 수행하게 하는 복수의 인스트럭션이 그 내에 저장되어 있는 메모리를 포함하는 보안 서버를 포함한다.Example 70 includes a processor; And a security server, when executed by the processor, that includes a memory in which a plurality of instructions for causing the security server to perform the method of any one of Examples 59 to 69 are stored.

예 71은 보안 서버에 의한 실행에 응답하여, 보안 서버가 예 59 내지 69 중 어느 하나의 방법을 수행하게 하는 그 위에 저장되어 있는 복수의 인스트럭션을 포함하는 하나 이상의 기계 판독가능 저장 매체를 포함한다.Example 71 includes one or more machine-readable storage media containing a plurality of instructions stored thereon, in response to execution by a security server, to cause the security server to perform any of the methods of Examples 59-69.

예 72는 보안 이상의 분산형 검출을 위한 보안 서버를 포함하고, 보안 서버는 컴퓨팅 디바이스와 신뢰된 관계를 수립하기 위한 수단; 컴퓨팅 디바이스로부터, 컴퓨팅 디바이스의 인터-가상 네트워크 기능 네트워크 또는 인터-가상 네트워크 기능 컴포넌트 네트워크 중 적어도 하나의 하나 이상의 패킷의 보안 위협 평가를 수신하기 위한 수단; 및 하나 이상의 패킷이 보안 위협을 취하는지 여부를 판정하기 위해 보안 서버의 보안 위협 데이터베이스와 보안 위협 평가를 상관하기 위한 수단을 포함한다.Example 72 includes a security server for distributed detection over security, the security server comprising: means for establishing a trusted relationship with the computing device; Means for receiving a security threat assessment of at least one packet from a computing device, an inter-virtual network functional network of a computing device or an inter-virtual network functional component network; And means for correlating the security threat assessment with the security threat database of the security server to determine whether the one or more packets take a security threat.

예 73은 예 72의 요지를 포함하고, 여기서 신뢰된 관계를 수립하기 위한 수단은 컴퓨팅 디바이스의 대응하는 신뢰된 실행 환경 모듈과 신뢰된 관계를 수립하기 위한 수단을 포함한다.Example 73 includes the gist of Example 72 wherein the means for establishing a trusted relationship comprises means for establishing a trusted relationship with a corresponding trusted execution environment module of the computing device.

예 74는 예 72 및 73 중 어느 하나의 요지를 포함하고, 여기서 보안 위협 평가를 수신하기 위한 수단은 보안 서버의 신뢰된 실행 환경 모듈과 컴퓨팅 디바이스의 대응하는 신뢰된 실행 환경 모듈 사이에 수립된 대역외 통신 채널을 통해 컴퓨팅 디바이스의 대응하는 신뢰된 실행 환경 모듈로부터 보안 위협 평가를 수신하기 위한 수단을 포함한다.Example 74 includes the subject matter of any one of Examples 72 and 73 wherein the means for receiving the security threat assessment comprises means for determining a bandwidth established between the trusted execution environment module of the security server and the corresponding trusted execution environment module of the computing device And means for receiving a security threat assessment from a corresponding trusted execution environment module of the computing device over an external communication channel.

예 75는 예 72 내지 74 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 관계를 수립하기 위한 수단은 컴퓨팅 디바이스와 암호화키를 교환하기 위한 수단을 포함한다.Example 75 includes the subject matter of any of Examples 72-74, wherein the means for establishing a trusted relationship comprises means for exchanging an encryption key with a computing device.

예 76은 예 72 내지 75 중 어느 하나의 요지를 포함하고, 신뢰된 관계에 기초하여 컴퓨팅 디바이스와 신뢰된 터널을 설립하기 위한 수단을 추가로 포함한다.Example 76 includes the subject matter of any of Examples 72-75, further comprising means for establishing a trusted tunnel with the computing device based on the trusted relationship.

예 77은 예 72 내지 76 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하기 위한 수단은 컴퓨팅 디바이스로부터 컴퓨팅 디바이스의 보안 정책을 수신하기 위한 수단을 추가로 포함한다.Example 77 includes the subject matter of any of Examples 72-76, wherein the means for establishing a trusted tunnel further comprises means for receiving a computing device's security policy from the computing device.

예 78은 예 72 내지 77 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하기 위한 수단은 컴퓨팅 디바이스로부터 컴퓨팅 디바이스의 휴리스틱 코드를 수신하기 위한 수단을 추가로 포함한다.Example 78 includes the subject matter of any of Examples 72-77, wherein the means for establishing a trusted tunnel further comprises means for receiving a heuristic code of a computing device from a computing device.

예 79는 예 72 내지 78 중 어느 하나의 요지를 포함하고, 여기서 신뢰된 터널을 설립하기 위한 수단은 컴퓨팅 디바이스에 휴리스틱 코드를 전송하기 위한 수단을 추가로 포함한다.Example 79 comprises the subject matter of any of Examples 72-78, wherein the means for establishing a trusted tunnel further comprises means for transmitting a heuristic code to a computing device.

예 80은 예 72 내지 79 중 어느 하나의 요지를 포함하고, 보안 위협 데이터베이스와 보안 위협 평가의 상관에 기초하여 보안 위협의 식별에 응답하여 리미디에이션 동작을 결정하기 위한 수단을 추가로 포함한다.Example < RTI ID = 0.0 > 80 < / RTI > further comprises means for determining a remediation action in response to identifying a security threat based on a correlation of the security threat database and a security threat assessment.

예 81은 예 72 내지 80 중 어느 하나의 요지를 포함하고, 여기서 리미디에이션 동작을 결정하기 위한 수단은 리미디에이션 서버로부터 리미디에이션 결정을 요청하기 위한 수단; 및 리미디에이션 서버로부터 리미디에이션 결정과 연계된 리미디에이션 인스트럭션을 수신하기 위한 수단을 포함한다.Example 81 includes the subject matter of any of Examples 72 to 80, wherein the means for determining the resuming operation comprises means for requesting a remediation decision from the remediation server; And means for receiving remediation instructions associated with the remediation decision from the remediation server.

예 82는 예 72 내지 81 중 어느 하나의 요지를 포함하고, 리미디에이션 인스트럭션을 컴퓨팅 디바이스에 전송하기 위한 수단을 추가로 포함한다.Example 82 includes the subject matter of any of Examples 72-81, further comprising means for transmitting the remade instruction to the computing device.

Claims (25)

보안 이상(security anomalies)의 분산형 검출을 위한 컴퓨팅 디바이스로서,
(i) 보안 서버와 신뢰된 관계를 수립하고, (ii) 상기 신뢰된 관계의 수립에 응답하여 인터-가상 네트워크 기능 네트워크(inter-virtual network function network) 및 인터-가상 네트워크 기능 컴포넌트 네트워크 중 적어도 하나의 하나 이상의 패킷을 판독하고, (iii) 상기 하나 이상의 패킷의 보안 위협 평가를 수행하기 위한 신뢰된 실행 환경 모듈과,
상기 보안 위협 평가를 상기 보안 서버에 전송하기 위한 통신 모듈을 포함하는
컴퓨팅 디바이스.
CLAIMS What is claimed is: 1. A computing device for distributed detection of security anomalies,
the method comprising: (i) establishing a trusted relationship with a security server; (ii) in response to establishing the trusted relationship, at least one of an inter-virtual network function network and an inter- (Iii) a trusted execution environment module for performing a security threat assessment of the one or more packets; and
And a communication module for transmitting the security threat assessment to the security server
Computing device.
제 1 항에 있어서,
상기 신뢰된 관계를 수립하는 것은 상기 보안 서버의 대응하는 신뢰된 실행 환경 모듈과 신뢰된 관계를 수립하는 것을 포함하는
컴퓨팅 디바이스.
The method according to claim 1,
Wherein establishing the trusted relationship comprises establishing a trusted relationship with a corresponding trusted execution environment module of the security server
Computing device.
제 2 항에 있어서,
상기 보안 위협 평가를 전송하는 것은 상기 컴퓨팅 디바이스의 신뢰된 실행 환경 모듈과 상기 보안 서버의 대응하는 신뢰된 실행 환경 모듈 사이에 수립된 대역외 통신 채널을 통해 상기 보안 서버의 상기 대응하는 신뢰된 실행 환경 모듈에 보안 위협 평가를 전송하는 것을 포함하는
컴퓨팅 디바이스.
3. The method of claim 2,
Wherein the sending of the security threat assessment comprises communicating with the corresponding trusted execution environment of the security server via an out-of-band communication channel established between the trusted execution environment module of the computing device and a corresponding trusted execution environment module of the security server. Including sending a security threat assessment to the module
Computing device.
제 1 항에 있어서,
상기 신뢰된 관계를 수립하는 것은 상기 보안 서버와 암호화키를 교환하는 것을 포함하는
컴퓨팅 디바이스.
The method according to claim 1,
Establishing the trusted relationship comprises exchanging an encryption key with the security server
Computing device.
제 1 항에 있어서,
상기 신뢰된 관계를 수립하는 것은 상기 컴퓨팅 디바이스의 신뢰의 루트(root of trust) 및 퓨즈키(fuse key) 중 적어도 하나를 이용하는 것을 포함하는
컴퓨팅 디바이스.
The method according to claim 1,
Establishing the trusted relationship comprises utilizing at least one of a root of trust of the computing device and a fuse key,
Computing device.
제 1 항에 있어서,
상기 신뢰된 실행 환경 모듈은 또한 상기 신뢰된 관계에 기초하여 상기 보안 서버와 신뢰된 터널을 설립하는
컴퓨팅 디바이스.
The method according to claim 1,
The trusted execution environment module also establishes a trusted tunnel with the security server based on the trusted relationship
Computing device.
제 6 항에 있어서,
상기 신뢰된 터널을 설립하는 것은 상기 컴퓨팅 디바이스의 보안 정책을 상기 보안 서버에 전송하는 것을 추가로 포함하는
컴퓨팅 디바이스.
The method according to claim 6,
Establishing the trusted tunnel further comprises transmitting the security policy of the computing device to the security server
Computing device.
제 6 항에 있어서,
상기 신뢰된 터널을 설립하는 것은 상기 컴퓨팅 디바이스의 휴리스틱 코드(heuristic code)를 상기 보안 서버에 전송하는 것을 추가로 포함하는
컴퓨팅 디바이스.
The method according to claim 6,
Establishing the trusted tunnel further comprises transmitting a heuristic code of the computing device to the secure server
Computing device.
제 6 항에 있어서,
상기 신뢰된 터널을 설립하는 것은 상기 보안 서버로부터 휴리스틱 코드를 수신하는 것을 추가로 포함하는
컴퓨팅 디바이스.
The method according to claim 6,
Establishing the trusted tunnel further comprises receiving a heuristic code from the security server
Computing device.
제 1 항에 있어서,
상기 신뢰된 실행 환경 모듈은 또한 상기 신뢰된 관계의 수립에 응답하여 상기 컴퓨팅 디바이스를 부팅하는
컴퓨팅 디바이스.
The method according to claim 1,
The trusted execution environment module also includes means for booting the computing device in response to establishing the trusted relationship
Computing device.
제 10 항에 있어서,
상기 컴퓨팅 디바이스를 부팅하는 것은 상기 컴퓨팅 디바이스의 구성 정책을 검색(retrieve)하는 것을 포함하는
컴퓨팅 디바이스.
11. The method of claim 10,
Wherein booting the computing device comprises retrieving the configuration policy of the computing device
Computing device.
제 1 항에 있어서,
상기 신뢰된 실행 환경 모듈은 또한 상기 컴퓨팅 디바이스의 실행시간 포스처(runtime posture)를 결정하기 위한 것이고,
상기 보안 위협 평가를 수행하는 것은 상기 실행시간 포스처에 기초하여 상기 하나 이상의 패킷의 보안 위협 평가를 수행하는 것을 포함하는
컴퓨팅 디바이스.
The method according to claim 1,
The trusted execution environment module is also for determining an execution time posture of the computing device,
Wherein performing the security threat assessment comprises performing a security threat assessment of the one or more packets based on the execution time posture
Computing device.
제 12 항에 있어서,
상기 컴퓨팅 디바이스의 실행시간 포스처를 결정하는 것은 상기 컴퓨팅 디바이스의 가상 네트워크 기능의 실행시간 포스처를 결정하는 것을 포함하는
컴퓨팅 디바이스.
13. The method of claim 12,
Determining an execution time position of the computing device includes determining an execution time position of a virtual network function of the computing device
Computing device.
제 1 항에 있어서,
상기 통신 모듈은 또한 상기 보안 서버로부터 상기 하나 이상의 패킷을 위한 리미디에이션(remediation) 동작 인스트럭션을 수신하는
컴퓨팅 디바이스.
The method according to claim 1,
The communication module also receives a remediation action instruction for the one or more packets from the security server
Computing device.
제 14 항에 있어서,
상기 신뢰된 실행 환경 모듈은 또한 상기 리미디에이션 동작 인스트럭션과 대응하는 리미디에이션 동작을 시행하는
컴퓨팅 디바이스.
15. The method of claim 14,
The trusted execution environment module also performs a remediation operation corresponding to the remediation operation instruction
Computing device.
컴퓨팅 디바이스에 의해 보안 이상의 분산형 검출을 위한 방법에 있어서,
상기 컴퓨팅 디바이스에 의해, 보안 서버와 신뢰된 관계를 수립하는 단계와,
상기 컴퓨팅 디바이스에 의해, 상기 신뢰된 관계의 수립에 응답하여 인터-가상 네트워크 기능 네트워크 또는 인터-가상 네트워크 기능 컴포넌트 네트워크 중 적어도 하나의 하나 이상의 패킷을 판독하는 단계와,
상기 컴퓨팅 디바이스에 의해, 상기 하나 이상의 패킷의 보안 위협 평가를 수행하는 단계와,
상기 컴퓨팅 디바이스에 의해, 상기 보안 위협 평가를 상기 보안 서버에 전송하는 단계를 포함하는
방법.
A method for distributed detection over security by a computing device,
Establishing a trusted relationship with the security server by the computing device;
Reading, by the computing device, one or more packets of at least one of an inter-virtual network functional network or an inter-virtual network functional component network in response to establishing the trusted relationship;
Performing, by the computing device, a security threat assessment of the one or more packets;
And sending, by the computing device, the security threat assessment to the security server
Way.
제 16 항에 있어서,
상기 신뢰된 관계를 수립하는 단계는 상기 보안 서버의 대응하는 신뢰된 실행 환경 모듈과 신뢰된 관계를 수립하는 단계를 포함하는
방법.
17. The method of claim 16,
Wherein establishing the trusted relationship comprises establishing a trusted relationship with a corresponding trusted execution environment module of the security server
Way.
제 17 항에 있어서,
상기 보안 위협 평가를 전송하는 단계는 상기 컴퓨팅 디바이스의 신뢰된 실행 환경 모듈과 상기 보안 서버의 대응하는 신뢰된 실행 환경 모듈 사이에 수립된 대역외 통신 채널을 통해 상기 보안 서버의 상기 대응하는 신뢰된 실행 환경 모듈에 보안 위협 평가를 전송하는 단계를 포함하는
방법.
18. The method of claim 17,
Wherein the step of transmitting the security threat assessment comprises: sending the security threat assessment to the corresponding trusted execution environment module of the security server via the out-of-band communication channel established between the trusted execution environment module of the computing device and the corresponding trusted execution environment module of the security server. And sending a security threat assessment to the environmental module
Way.
제 16 항에 있어서,
상기 컴퓨팅 디바이스에 의해, 상기 컴퓨팅 디바이스의 가상 네트워크 기능의 실행시간 포스처를 결정하는 단계를 추가로 포함하고,
상기 보안 위협 평가를 수행하는 단계는 상기 실행시간 포스처에 기초하여 상기 하나 이상의 패킷의 보안 위협 평가를 수행하는 단계를 포함하는
방법.
17. The method of claim 16,
Further comprising, by the computing device, determining an execution time position of a virtual network function of the computing device,
Wherein performing the security threat assessment comprises performing a security threat assessment of the one or more packets based on the execution time posture
Way.
제 16 항에 있어서,
상기 컴퓨팅 디바이스에 의해, 상기 보안 서버로부터 상기 하나 이상의 패킷을 위한 리미디에이션 동작 인스트럭션을 수신하는 단계와,
상기 컴퓨팅 디바이스에 의해, 상기 리미디에이션 동작 인스트럭션과 대응하는 리미디에이션 동작을 시행하는 단계를 추가로 포함하는
방법.
17. The method of claim 16,
Receiving, by the computing device, remediation operation instructions for the one or more packets from the security server;
Further comprising, by the computing device, performing a remediation operation corresponding to the remediation operation instruction
Way.
하나 이상의 기계 판독가능 저장 매체에 있어서,
컴퓨팅 디바이스에 의한 실행에 응답하여, 상기 컴퓨팅 디바이스로 하여금 제 16 항 내지 20 중 어느 한 항의 방법을 수행하게 하는 복수의 인스트럭션이 저장되어 있는
하나 이상의 기계 판독가능 저장 매체.
At least one machine-readable storage medium,
In response to execution by a computing device, a plurality of instructions are stored that cause the computing device to perform the method of any of claims 16-20
At least one machine readable storage medium.
보안 이상의 분산형 검출을 위한 보안 서버에 있어서,
컴퓨팅 디바이스와 신뢰된 관계를 수립하기 위한 신뢰된 실행 환경 모듈과,
상기 컴퓨팅 디바이스의 인터-가상 네트워크 기능 네트워크 또는 인터-가상 네트워크 기능 컴포넌트 네트워크 중 적어도 하나의 하나 이상의 패킷의 보안 위협 평가를 상기 컴퓨팅 디바이스로부터 수신하기 위한 통신 모듈을 포함하고,
상기 신뢰된 실행 환경 모듈은 또한 상기 하나 이상의 패킷이 보안 위협을 취하는지 여부를 판정하기 위해 상기 보안 서버의 보안 위협 데이터베이스와 보안 위협 평가를 상관하는
보안 서버.
A security server for distributed detection,
A trusted execution environment module for establishing a trusted relationship with the computing device,
A communication module for receiving a security threat assessment of at least one of at least one of an inter-virtual network functional network or an inter-virtual network functional component network of the computing device from the computing device,
The trusted execution environment module also correlates the security threat assessment with the security threat database of the security server to determine whether the one or more packets take a security threat
Security server.
제 22 항에 있어서,
상기 신뢰된 관계를 수립하는 것은 상기 컴퓨팅 디바이스의 대응하는 신뢰된 실행 환경 모듈과 신뢰된 관계를 수립하는 것을 포함하고,
상기 보안 위협 평가를 수신하는 것은 상기 보안 서버의 신뢰된 실행 환경 모듈과 상기 컴퓨팅 디바이스의 대응하는 신뢰된 실행 환경 모듈 사이에 수립된 대역외 통신 채널을 통해 상기 컴퓨팅 디바이스의 상기 대응하는 신뢰된 실행 환경 모듈로부터 보안 위협 평가를 수신하는 것을 포함하는
보안 서버.
23. The method of claim 22,
Establishing the trusted relationship comprises establishing a trusted relationship with a corresponding trusted execution environment module of the computing device,
Wherein the receiving of the security threat assessment further comprises: receiving, via the out-of-band communication channel established between the trusted execution environment module of the security server and the corresponding trusted execution environment module of the computing device, the corresponding trusted execution environment Including receiving a security threat assessment from a module
Security server.
제 22 항에 있어서,
상기 신뢰된 실행 환경 모듈은 또한 상기 보안 위협 데이터베이스와 보안 위협 평가의 상관에 기초한 보안 위협의 식별에 응답하여 리미디에이션 동작을 결정하는
보안 서버.
23. The method of claim 22,
The trusted execution environment module also determines a remediation operation in response to identifying a security threat based on a correlation of the security threat database and a security threat assessment
Security server.
제 24 항에 있어서,
상기 리미디에이션 동작을 결정하는 것은
리미디에이션 서버로부터 리미디에이션 결정을 요청하는 것과,
상기 리미디에이션 서버로부터 상기 리미디에이션 결정과 연계된 리미디에이션 인스트럭션을 수신하는 것을 포함하고,
상기 통신 모듈은 또한 상기 리미디에이션 인스트럭션을 상기 컴퓨팅 디바이스에 전송하는
보안 서버.25. The method of claim 24,
The determination of the remediation operation
Requesting a remediation decision from the remediation server,
And receiving remediation instructions from the remediation server associated with the remediation determination,
The communication module also sends the remediation instructions to the computing device
Security server.
KR1020177005493A 2014-09-30 2015-08-26 Technologies for distributed detection of security anomalies KR101992547B1 (en)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201462058096P 2014-09-30 2014-09-30
US62/058,096 2014-09-30
US14/513,140 2014-10-13
US14/513,140 US9705849B2 (en) 2014-09-30 2014-10-13 Technologies for distributed detection of security anomalies
PCT/US2015/046909 WO2016053514A1 (en) 2014-09-30 2015-08-26 Technologies for distributed detection of security anomalies

Publications (2)

Publication Number Publication Date
KR20170038190A true KR20170038190A (en) 2017-04-06
KR101992547B1 KR101992547B1 (en) 2019-06-24

Family

ID=55585738

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020177005493A KR101992547B1 (en) 2014-09-30 2015-08-26 Technologies for distributed detection of security anomalies

Country Status (7)

Country Link
US (2) US9705849B2 (en)
EP (3) EP4246896A3 (en)
JP (1) JP6359766B2 (en)
KR (1) KR101992547B1 (en)
CN (1) CN106716952B (en)
TW (2) TWI712291B (en)
WO (1) WO2016053514A1 (en)

Families Citing this family (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9578664B1 (en) 2013-02-07 2017-02-21 Sprint Communications Company L.P. Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system
US9705849B2 (en) * 2014-09-30 2017-07-11 Intel Corporation Technologies for distributed detection of security anomalies
US10303879B1 (en) * 2014-11-06 2019-05-28 Amazon Technologies, Inc. Multi-tenant trusted platform modules
US10496974B2 (en) * 2015-03-25 2019-12-03 Intel Corporation Secure transactions with connected peripherals
CN104899524B (en) * 2015-05-25 2018-11-27 上海兆芯集成电路有限公司 The method of central processing unit and verifying motherboard data
US9686240B1 (en) 2015-07-07 2017-06-20 Sprint Communications Company L.P. IPv6 to IPv4 data packet migration in a trusted security zone
US9749294B1 (en) * 2015-09-08 2017-08-29 Sprint Communications Company L.P. System and method of establishing trusted operability between networks in a network functions virtualization environment
US10628764B1 (en) * 2015-09-15 2020-04-21 Synack, Inc. Method of automatically generating tasks using control computer
US10542115B1 (en) 2015-10-01 2020-01-21 Sprint Communications Company L.P. Securing communications in a network function virtualization (NFV) core network
US9811686B1 (en) 2015-10-09 2017-11-07 Sprint Communications Company L.P. Support systems interactions with virtual network functions in a trusted security zone
US9781016B1 (en) 2015-11-02 2017-10-03 Sprint Communications Company L.P. Dynamic addition of network function services
US10135702B2 (en) 2015-11-12 2018-11-20 Keysight Technologies Singapore (Holdings) Pte. Ltd. Methods, systems, and computer readable media for testing network function virtualization (NFV)
US9967165B2 (en) * 2015-12-07 2018-05-08 Keysight Technologies Singapore (Holdings) Pte. Ltd. Methods, systems, and computer readable media for packet monitoring in a virtual environment
US20180034843A1 (en) * 2016-07-29 2018-02-01 Rohde & Schwarz Gmbh & Co. Kg Method and apparatus for testing a security of communication of a device under test
US20180088977A1 (en) * 2016-09-28 2018-03-29 Mark Gray Techniques to determine and mitigate latency in virtual environments
US10250498B1 (en) 2016-10-03 2019-04-02 Sprint Communications Company L.P. Session aggregator brokering of data stream communication
KR20180071679A (en) * 2016-12-20 2018-06-28 삼성전자주식회사 User terminal apparatus and controlling method of thereof
US11582248B2 (en) 2016-12-30 2023-02-14 British Telecommunications Public Limited Company Data breach protection
WO2018122051A1 (en) * 2016-12-30 2018-07-05 British Telecommunications Public Limited Company Attack signature generation
US11658996B2 (en) * 2016-12-30 2023-05-23 British Telecommunications Public Limited Company Historic data breach detection
US10691514B2 (en) * 2017-05-08 2020-06-23 Datapipe, Inc. System and method for integration, testing, deployment, orchestration, and management of applications
US10567359B2 (en) * 2017-07-18 2020-02-18 International Business Machines Corporation Cluster of secure execution platforms
US10348488B1 (en) 2017-08-25 2019-07-09 Sprint Communications Company L.P. Tiered distributed ledger technology (DLT) in a network function virtualization (NFV) core network
US10944650B2 (en) * 2018-03-29 2021-03-09 Fortinet, Inc. Programmable, policy-based efficient wireless sniffing networks in WIPS (wireless intrusion prevention systems)
US11157952B2 (en) * 2018-04-30 2021-10-26 Affle (India) Limited Method and system for creating decentralized repository of fraud IPs and publishers using blockchain
EP3735765A4 (en) * 2018-06-01 2021-01-13 Huawei Technologies Co., Ltd. Multiple server-architecture cluster for providing a virtual network function
US11398968B2 (en) 2018-07-17 2022-07-26 Keysight Technologies, Inc. Methods, systems, and computer readable media for testing virtualized network functions and related infrastructure
US10826943B2 (en) * 2018-08-21 2020-11-03 At&T Intellectual Property I, L.P. Security controller
US11263318B2 (en) * 2018-11-05 2022-03-01 Red Hat, Inc. Monitoring a process in a trusted execution environment to identify a resource starvation attack
BR112021010468A2 (en) * 2018-12-31 2021-08-24 Intel Corporation Security Systems That Employ Artificial Intelligence
CN110034925B (en) * 2019-01-07 2022-03-01 创新先进技术有限公司 Cross-machine-room trusted computing cluster forming and communication method and device
US11297100B2 (en) 2019-01-14 2022-04-05 Red Hat, Inc. Concealed monitor communications from a task in a trusted execution environment
US11023591B2 (en) * 2019-01-14 2021-06-01 Nxp B.V. Data processing system having distributed security controller with local control and method for securing the data processing system
US11128670B2 (en) * 2019-02-26 2021-09-21 Oracle International Corporation Methods, systems, and computer readable media for dynamically remediating a security system entity
CN109922056B (en) 2019-02-26 2021-09-10 创新先进技术有限公司 Data security processing method, terminal and server thereof
US11431732B2 (en) * 2019-07-04 2022-08-30 Check Point Software Technologies Ltd. Methods and system for packet control and inspection in containers and meshed environments
EP4005183A4 (en) * 2019-11-08 2022-08-17 Samsung Electronics Co., Ltd. Method and electronic device for determining security threat on radio access network
US11323354B1 (en) 2020-10-09 2022-05-03 Keysight Technologies, Inc. Methods, systems, and computer readable media for network testing using switch emulation
US11483227B2 (en) 2020-10-13 2022-10-25 Keysight Technologies, Inc. Methods, systems and computer readable media for active queue management
US11847205B1 (en) 2020-10-26 2023-12-19 T-Mobile Innovations Llc Trusted 5G network function virtualization of virtual network function elements embedded on a system-on-chip
WO2023278851A1 (en) * 2021-07-02 2023-01-05 Commscope Technologies Llc Systems and methods for secure virtualized base station orchestration
US11949583B2 (en) * 2022-04-28 2024-04-02 Hewlett Packard Enterprise Development Lp Enforcing reference operating state compliance for cloud computing-based compute appliances
CN115134158B (en) * 2022-07-04 2023-05-23 海南大学 Access management method and device for charging pile cloud platform
US11853254B1 (en) 2022-10-07 2023-12-26 Keysight Technologies, Inc. Methods, systems, and computer readable media for exposing data processing unit (DPU) traffic in a smartswitch

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060063347A (en) * 2004-12-07 2006-06-12 한국전자통신연구원 Security evaluation system and method for ipv6 network layer by using evaluation rule description language
US20140137188A1 (en) * 2012-11-14 2014-05-15 Domanicom Corporation Devices, systems, and methods for simultaneously delivering personalized/ targeted services and advertisements to end users

Family Cites Families (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7096502B1 (en) * 2000-02-08 2006-08-22 Harris Corporation System and method for assessing the security posture of a network
WO2002003220A2 (en) * 2000-07-05 2002-01-10 Ernst & Young Llp Method and apparatus for providing computer services
US20120023572A1 (en) * 2010-07-23 2012-01-26 Q-Track Corporation Malicious Attack Response System and Associated Method
US7190678B2 (en) * 2002-10-28 2007-03-13 Cisco Technology, Inc. Arrangement for router attachments between roaming mobile routers in a clustered network
US7496818B1 (en) * 2003-02-27 2009-02-24 Marvell International Ltd. Apparatus and method for testing and debugging an integrated circuit
US7941855B2 (en) * 2003-04-14 2011-05-10 New Mexico Technical Research Foundation Computationally intelligent agents for distributed intrusion detection system and method of practicing same
KR20040102496A (en) 2003-05-28 2004-12-08 (주)에이치인포메이션 Mobile Game System And The Method Thereof Using The Key-button Having The Audio Signal Output Function
US8087057B2 (en) * 2004-04-28 2011-12-27 Echostar Technologies L.L.C. Television converter device including an internet protocol interface
US20070266433A1 (en) * 2006-03-03 2007-11-15 Hezi Moore System and Method for Securing Information in a Virtual Computing Environment
US20070271453A1 (en) * 2006-05-19 2007-11-22 Nikia Corporation Identity based flow control of IP traffic
US7793110B2 (en) * 2006-05-24 2010-09-07 Palo Alto Research Center Incorporated Posture-based data protection
US20140173731A1 (en) * 2007-07-27 2014-06-19 Redshift Internetworking, Inc. System and Method for Unified Communications Threat Management (UCTM) for Converged Voice, Video and Multi-Media Over IP Flows
US9369299B2 (en) * 2008-06-10 2016-06-14 Bradford Networks, Inc. Network access control system and method for devices connecting to network using remote access control methods
US8087067B2 (en) * 2008-10-21 2011-12-27 Lookout, Inc. Secure mobile platform system
JP5453461B2 (en) * 2009-03-05 2014-03-26 インターデイジタル パテント ホールディングス インコーポレイテッド Methods and equipment for H (e) NB integrity verification and validation
US20110161452A1 (en) * 2009-12-24 2011-06-30 Rajesh Poornachandran Collaborative malware detection and prevention on mobile devices
US8607325B2 (en) * 2010-02-22 2013-12-10 Avaya Inc. Enterprise level security system
US8392344B2 (en) * 2010-07-14 2013-03-05 Domanicom Corp. Systems, devices, and methods for providing multiple services to premises over communication networks
US8010992B1 (en) * 2010-07-14 2011-08-30 Domanicom Corp. Devices, systems, and methods for providing increased security when multiplexing one or more services at a customer premises
US9117083B2 (en) * 2011-02-14 2015-08-25 Blackberry Limited Managing booting of secure devices with untrusted software
JP5618886B2 (en) * 2011-03-31 2014-11-05 株式会社日立製作所 Network system, computer distribution apparatus, and computer distribution method
US9161249B1 (en) * 2011-07-07 2015-10-13 Symantec Corporation Systems and methods for performing internet site security analyses
US9767840B2 (en) * 2011-08-18 2017-09-19 Apple Inc. Securing protected content during video playback
US9317689B2 (en) * 2012-06-15 2016-04-19 Visa International Service Association Method and apparatus for secure application execution
US20140270177A1 (en) * 2013-03-15 2014-09-18 Ernie Brickell Hardening inter-device secure communication using physically unclonable functions
US8955144B2 (en) * 2013-06-28 2015-02-10 Intel Corporation Protecting information processing system secrets from debug attacks
US9460286B1 (en) * 2013-12-19 2016-10-04 Amdocs Software Systems Limited System, method, and computer program for managing security in a network function virtualization (NFV) based communication network
CN103763309B (en) * 2013-12-31 2018-03-30 曙光云计算集团有限公司 Safety domain control method and system based on virtual network
US9400885B2 (en) * 2014-01-10 2016-07-26 Bitdefender IPR Management Ltd. Computer security systems and methods using virtualization exceptions
US9473567B2 (en) * 2014-08-20 2016-10-18 At&T Intellectual Property I, L.P. Virtual zones for open systems interconnection layer 4 through layer 7 services in a cloud computing system
US9367343B2 (en) * 2014-08-29 2016-06-14 Red Hat Israel, Ltd. Dynamic batch management of shared buffers for virtual machines
US9705849B2 (en) * 2014-09-30 2017-07-11 Intel Corporation Technologies for distributed detection of security anomalies
US9560078B2 (en) * 2015-02-04 2017-01-31 Intel Corporation Technologies for scalable security architecture of virtualized networks
EP3282647B1 (en) * 2015-04-30 2019-12-11 Huawei Technologies Co. Ltd. Software security verification method, equipment and system
US9578008B2 (en) * 2015-05-11 2017-02-21 Intel Corporation Technologies for secure bootstrapping of virtual network functions
US9742790B2 (en) * 2015-06-16 2017-08-22 Intel Corporation Technologies for secure personalization of a security monitoring virtual network function
US9825982B1 (en) * 2016-04-29 2017-11-21 Ciena Corporation System and method for monitoring network vulnerabilities
US20180341494A1 (en) * 2017-05-26 2018-11-29 Intel Corporation Accelerating network security monitoring

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060063347A (en) * 2004-12-07 2006-06-12 한국전자통신연구원 Security evaluation system and method for ipv6 network layer by using evaluation rule description language
US20140137188A1 (en) * 2012-11-14 2014-05-15 Domanicom Corporation Devices, systems, and methods for simultaneously delivering personalized/ targeted services and advertisements to end users

Also Published As

Publication number Publication date
EP3745653A1 (en) 2020-12-02
CN106716952B (en) 2020-11-10
TWI712291B (en) 2020-12-01
EP3202096A1 (en) 2017-08-09
TW201824837A (en) 2018-07-01
EP4246896A2 (en) 2023-09-20
TWI606711B (en) 2017-11-21
EP3202096A4 (en) 2018-06-06
US20170111382A1 (en) 2017-04-20
US9705849B2 (en) 2017-07-11
KR101992547B1 (en) 2019-06-24
EP3202096B1 (en) 2022-05-11
US10469451B2 (en) 2019-11-05
JP6359766B2 (en) 2018-07-18
TW201626773A (en) 2016-07-16
US20160094573A1 (en) 2016-03-31
EP4246896A3 (en) 2023-12-20
CN106716952A (en) 2017-05-24
WO2016053514A1 (en) 2016-04-07
EP3745653B1 (en) 2023-09-06
EP3745653C0 (en) 2023-09-06
JP2017534106A (en) 2017-11-16

Similar Documents

Publication Publication Date Title
KR101992547B1 (en) Technologies for distributed detection of security anomalies
USRE48411E1 (en) Technologies for secure inter-virtual network function communication
US10721258B2 (en) Technologies for secure personalization of a security monitoring virtual network function
US11533341B2 (en) Technologies for scalable security architecture of virtualized networks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant